約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
個人情報保護委員会は2月15日、個人データの持ち出しが判明したNTTドコモおよびNTTネクシアに対し、個人情報保護法にもとづく行政指導を行った。データを持ち出した元従業員は作成したツールのソースコードをノウハウとして持ち出したかったと話しているという。
NTTドコモでは、インターネット関連のサービスや商品を顧客に対して提案する電話営業にあたり、顧客情報管理の関連業務をNTTネクシアに委託していたが、NTTネクシアに派遣されていた従業員が、業務端末より同従業員が契約するクラウドサービスへ個人情報をアップロードしていたことが判明した。
具体的には、インターネット接続サービス「ぷらら」の顧客情報165万件、映像配信サービス「ひかりTV」の顧客情報431万件のあわせて約596万件を外部クラウドに保存。氏名や住所、電話番号、顧客番号の一部、フレッツ回線IDのほか、「ひかりTV」の顧客に関してはメールアドレス、生年月日なども含まれる。
同従業員は、個人データを含むデータ管理ツールの開発を担当。2023年3月30日に同従業員が使用していたパソコンから、業務とは関係ない外部通信が発生していることをNTTドコモが検知したことで問題が発覚した。
今回問題が生じた同事業は、もともと吸収合併したNTTぷららの事業を継承したものだったという。
NTTドコモが定めた情報管理規程のもと管理されておらず、顧客情報を取り扱う端末において、インターネットやメールの利用を制限したり、顧客情報の暗号化が十分行われていなかった。
(Security NEXT - 2024/02/15 )
ツイート
PR
関連記事
「Firefox」にメモリ破壊の脆弱性 - 任意コード実行のおそれ
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
サポート詐欺でPC遠隔操作、情報流出を調査 - 東北文化学園大
システムの登録ユーザー情報、ユーザー間で閲覧可能に - コマツ
児童情報を全認定こども園にメール誤送信 - 八王子市
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正

