約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
個人情報保護委員会は2月15日、個人データの持ち出しが判明したNTTドコモおよびNTTネクシアに対し、個人情報保護法にもとづく行政指導を行った。データを持ち出した元従業員は作成したツールのソースコードをノウハウとして持ち出したかったと話しているという。
NTTドコモでは、インターネット関連のサービスや商品を顧客に対して提案する電話営業にあたり、顧客情報管理の関連業務をNTTネクシアに委託していたが、NTTネクシアに派遣されていた従業員が、業務端末より同従業員が契約するクラウドサービスへ個人情報をアップロードしていたことが判明した。
具体的には、インターネット接続サービス「ぷらら」の顧客情報165万件、映像配信サービス「ひかりTV」の顧客情報431万件のあわせて約596万件を外部クラウドに保存。氏名や住所、電話番号、顧客番号の一部、フレッツ回線IDのほか、「ひかりTV」の顧客に関してはメールアドレス、生年月日なども含まれる。
同従業員は、個人データを含むデータ管理ツールの開発を担当。2023年3月30日に同従業員が使用していたパソコンから、業務とは関係ない外部通信が発生していることをNTTドコモが検知したことで問題が発覚した。
今回問題が生じた同事業は、もともと吸収合併したNTTぷららの事業を継承したものだったという。
NTTドコモが定めた情報管理規程のもと管理されておらず、顧客情報を取り扱う端末において、インターネットやメールの利用を制限したり、顧客情報の暗号化が十分行われていなかった。
(Security NEXT - 2024/02/15 )
ツイート
PR
関連記事
「NVIDIA UFM」に管理インタフェースから悪用可能な脆弱性
「Copilot Studio」に深刻な脆弱性 - 対策済み、悪用報告なし
GitLab、アップデートをリリース - 脆弱性6件やバグを解消
「VMware Aria Operations」に5件の脆弱性 - アップデートをリリース
「Firefox 133」で多数の脆弱性を修正 - 延長サポート版もリリース
紙出席簿が所在不明、デジタル利用で一時紛失気づかず - 都立高校
イベント当選者宛てのメールで誤送信が発生 - 宮崎市
ランサム被害で個人情報流出の可能性、調査を継続 - AIS
名古屋市営バスの料金箱で障害、料金徴収できず - アップデートが影響か
第三者が商標含むドメインで無断複製コンテンツ掲載 - LIFULLが注意喚起