ＮＴＴ西日本の子会社で、約900万件の顧客情報が不正に流出されました。なぜこれほど多くの個人情報が漏洩したのか、そして情報漏洩を防ぐには、企業として何をすべきか、緊急にご説明します。

目次

• 事件の概要
• 内部不正は漏洩数が甚大になるリスク大！
• 内部不正を防ぐ対策とは？

事件の概要

今月18日報道各社は、ＮＴＴ西日本の子会社の元派遣社員が、約900万件の顧客情報を不正流出させた、と一斉に報じました。漏洩された情報には氏名や住所、電話番号が含まれ、漏洩期間は１０年近くに渡っていたということです。

この事件で特徴的なことは、約900万件という漏洩件数の多さにあります。過去の事例と比べてみても、ベネッセコーポレーションの2,895万件、ヤフージャパンの2,200万件に次ぐ規模の大きさと思われます。

また流出した個人情報はＮＴＴ西日本だけでなく、業務委託元であるWOWWOW、ソニーネットワークコミュニケーションズ等の民間企業、さらには福岡県、沖縄県、千葉市、堺市等、全国の自治体に広がっています。

なぜ今回の事件は、これほど大規模な漏洩となったのでしょうか？　そして情報漏洩を防ぐ企業は、今回の事件から何を学ぶべきでしょうか？　ご説明していきます。

（参考１）ヤフージャパン、外部攻撃で情報漏洩2,200万件
不正アクセスでID流出。ヤフー最大級の危機に立ち向かい、事件から得た教訓とは何か
※　ヤフージャパンの漏洩はＩＤのみです。

（参考２）ベネッセコーポレーション、内部不正で情報漏洩2,895万件
事故の概要 | お客様本部について | ベネッセお客様本部

（参考３）ＮＨＫ
NTT西日本子会社 約900万件の顧客情報 元派遣社員が不正流出

（参考４）日本経済新聞
NTT西系の情報流出、各地で被害　WOWOWや沖縄で

内部不正は漏洩数が甚大になるリスク大！

今回の事件はNTT西日本の子会社の元派遣社員が、１０年近くにも渡って漏洩を続けていた、というものです。ベネッセの事件もそうですが、内部の人間が故意に情報を漏洩させた場合、その被害規模は甚大になる傾向があります。

なぜなら故意犯の場合、目的は金銭的な対価にあり、漏洩情報の数が多いほど金額が増えることになるからです。ある意味で被害規模が大きくなるのは、必然と言うこともできます。特に今回のように１０年にも渡って漏洩が続けば、その規模は甚大にならざるを得ないでしょう。

このような理由を踏まえたうえで最初に理解してほしいのは、一口に情報漏洩といっても、その原因は大きく３つに分かれるということです。

そしてそれぞれの原因に応じて、備える対策も異なってきます。

今回の事件は内部不正による情報漏洩なので、次章では内部不正を防ぐ対策についてご説明します。なお、外部攻撃や人為ミスへの対策は別ページに詳しくありますので、ご参照ください。

外部攻撃への対策：中小企業が最初にすべき、個人情報漏洩を防ぐ５つの対策

人為ミスへの対策：個人情報漏洩を防ぐ対策（メール送信・端末管理）

内部不正を防ぐ対策とは？

内部不正への対策で最も重要な点は、アクセス権限を不必要に広げない、ということです。故意に情報が持ち出されることを想定するわけですから、不必要にアクセス権限を広げないことしか、根本的な対策はありません。

しかしこれは、業務の効率を妨げる弊害を必ず伴います。両者のバランスをいかに維持するかが、対策を考える上で最大のポイントになります。業務の効率を妨げない、内部不正の対策ソフトとしては、コプリガードが推奨されます。

そしてソフト導入とともに、まずは以下の６点を検討してください。内部不正を防ぐ最低限の対策になります。

なお内部不正の対策と、過去に起きた内部不正の事例は下記で詳説しています。

内部情報漏洩を許さない、５つの対策と３つの事例

以上となります。
最後までお読みいただき、ありがとうございました。

※本記事の掲載事例は現時点での当社調べの内容です。

本記事の作成者：石川
所属：株式会社ティエスエスリンク / 営業部

最新の事例で分かる、情報漏洩対策のポイント【2023年版】

情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位なのか？漏洩の原因は何か？　企業はどのような対策を講じるべきか？　さらには万一漏洩した場合の対応手順まで解説します。