約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委

個人情報保護委員会は2月15日、個人データの持ち出しが判明したNTTドコモおよびNTTネクシアに対し、個人情報保護法にもとづく行政指導を行った。データを持ち出した元従業員は作成したツールのソースコードをノウハウとして持ち出したかったと話しているという。

NTTドコモでは、インターネット関連のサービスや商品を顧客に対して提案する電話営業にあたり、顧客情報管理の関連業務をNTTネクシアに委託していたが、NTTネクシアに派遣されていた従業員が、業務端末より同従業員が契約するクラウドサービスへ個人情報をアップロードしていたことが判明した。

具体的には、インターネット接続サービス「ぷらら」の顧客情報165万件、映像配信サービス「ひかりTV」の顧客情報431万件のあわせて約596万件を外部クラウドに保存。氏名や住所、電話番号、顧客番号の一部、フレッツ回線IDのほか、「ひかりTV」の顧客に関してはメールアドレス、生年月日なども含まれる。

同従業員は、個人データを含むデータ管理ツールの開発を担当。2023年3月30日に同従業員が使用していたパソコンから、業務とは関係ない外部通信が発生していることをNTTドコモが検知したことで問題が発覚した。

今回問題が生じた同事業は、もともと吸収合併したNTTぷららの事業を継承したものだったという。

NTTドコモが定めた情報管理規程のもと管理されておらず、顧客情報を取り扱う端末において、インターネットやメールの利用を制限したり、顧客情報の暗号化が十分行われていなかった。

（Security NEXT - 2024/02/15 ）ツイート