2023年10月に発生した、
NTTビジネスソリューションズ(NTT BS)の情報流出事件の続報です。
ーーーーーーーーーーーーーー
<過去blog>
NTT西子会社 900万件の情報流出 USBメモリで持ち出し →名簿業者へ
https://plug-in01.com/topics/archives/222
ーーーーーーーーーーーーーー
個人情報保護委員会から勧告と指導が出されました。
↓
(https://www.ppc.go.jp/news/press/2023/240124_houdou/)
あれだけ大きな事件ですからいつか出るかな〜と思っていましたが、
ようやく出ましたね。
全部で25ページというボリューム感!
今回指導されている対象は、以下の二つのNTT西日本の子会社。
①NTTマーケティングアクトProCX(以下、ProCX)
②NTTビジネスソリューションズ (以下、BS)
勧告、報告の概要は、ざっくり以下の通り。
①過去にあった調査依頼に対して適切に調査できなかった経緯・原因に対する是正を勧告
(2022年に一度委託元から情報漏洩に対する調査依頼があったのに、その時問題ないって報告してしまってたことに対するもの)
②今回の安全管理措置&委託先の監督不備に対する問題点を改善するよう指導
③①については、2024 年2月 29 日(木)までに報告すること。
②については、再発防止策の実施状況について、2024 年3月 29 日(金)までに報告すること。
内容は読んでもらえばわかると思いますが、
私的に「あららら・・・そうだったのか・・」と改めて感じたところをメモしておきます。
ちなみに、最後のページには、
「コールセンター業務における個人データの取扱いに係る安全管理措置、 従業者の監督及び委託先の監督に関する留意点について(注意喚起)」として、NTTProCXやNTT BS以外に対しても注意喚起しています。
コールセンター業務はもちろん個人情報を取り扱う業務を受託している企業は、確認しておく必要があります。
↓
ポイントは、直接業務を委託している委託先だけでなく、
システムの保守業者も適切に監督せよということなんですが・・
個人的には、ちょっと現実的じゃない気がするんですよね。
そもそも、委託先が使っているシステムの保守先について、
委託先が再委託先としてちゃんと認識しているものなのか・・?
そして、万が一ちゃんと認識していたとしても、
その委託先がシステム保守業者に対して適切に監督なんてできるのか・・・?
保守先が「データには基本的にアクセスしません」と報告してきたとしたら、
それを鵜呑みにしてしまうだけなのでは・・・?
なんて思ってしまうのですが。
今回は、PマークやISMSも取得している企業でもあったので、
審査員も知っておくべき今回の勧告・指導内容かなと思います。