日本の情報通信を支える巨大グループ企業のずさんな管理体制に、背筋の寒さすら感じる。
NTT西日本の子会社から約900万件の個人情報が流出した。コールセンターのシステム運用保守に従事していた元派遣社員が、USBメモリーを使って持ち出したとみられる。一部は名簿業者に渡したとされる。
業務を委託していた企業や自治体など、少なくとも59の顧客被害が判明している。森永乳業やWOWOW、福岡県や千葉市、大阪府豊中市など広範囲にわたる。
健康診断や税督促の対象者など個人の機微に触れる住民情報が含まれている。住所や電話番号のほか、一部にクレジットカード情報の記載もあり、影響は大きい。
政府の号令下、官民挙げて進めるデジタル化の足元の脆弱(ぜいじゃく)さを見つめ直さねばなるまい。
これほどの顧客情報を預かりながら、NTT側の管理体制は信じ難い甘さだった。
元派遣社員はシステム管理者の権限を持ち、顧客情報のあるサーバーから自由にデータをダウンロードできた。操作は大阪市の拠点のほか、ノートパソコンを使ってリモートでも可能だった。ルール上はUSB使用を禁じていたが、接続可能な状態を放置していた。
さらに驚きは、今年1月まで約10年間も流出を見逃していたことである。「リスクの大きい(従業員の)振る舞いを検知する仕組みがなかった」という。個人任せの危機管理にあきれる。
この間、約400万件が流出したとされる山田養蜂場(岡山県)から昨年4月、漏えいの可能性が指摘されていながら、不正を見抜けなかった。管理体制の抜本的見直しとともに、社内調査の在り方も検証が欠かせない。
企業や行政が保有する膨大な個人情報の流出事案は後を絶たない。約10年前、ベネッセコーポレーションの顧客情報約2900万件が持ち出されたのをはじめ、システムに近づける内部従事者の不正対策が課題とされて久しい。
官民の情報管理を監督する国の個人情報保護委員会は、今回の問題点を精査し、再発防止を図ってほしい。
情報保護はデジタル社会の根幹に関わり、流出が続く状況で国民は安心して情報を預けられない。
専門家は、情報へのアクセスの限定や物理的な遮断、定期的なチェックが基本だとしている。不正に流れた個人情報の売買などへの取り締まり強化も不可欠だ。
