日本電信電話(以下、NTT)グループはこのほど、2023年に発生したNTT西日本における情報漏洩などを受けて、重要情報漏えいの防止策を改めて説明する機会をオンラインで設けた。

情報漏えいの経緯と概要

NTT西日本における情報漏えいは、同社が過去にアウトバウンドテレマーケティング業務を委託していたNTTマーケティングアクトProCXにおいて発生したものだ。NTTマーケティングアクトProCXが利用するコールセンタシステムを手掛けるNTTビジネスソリューションズのシステム運用保守業務に従事していた元派遣社員が、顧客情報を不正に持ち出して第三者に流出させていた。

同人物が不正に持ち出した顧客情報は約928万件。氏名、住所、電話番号、生年月日などの一部だという。なお、NTT西日本はクレジットカード情報および金融機関口座情報などの決済関連情報やパスワード情報は含まれないとしている。

  • 記者説明会の概要

    記者説明会の概要

緊急対策として内部不正に関わる25項目を見直し

NTTグループは情報漏えいの発生後、緊急対策と本格対策に大別して対応を進めたという。緊急対策としては、グループ内向けに何が発生したのかを説明するとともに、CIO(Chief Information Officer)およびCISO(Chief Information Security Officer)から社内へのメッセージを表明した。

これと同時に、グループ規定のうち内部不正に関係のある25項目について順守状況を確認。不備がある部分については2023年中に暫定的なものを含め対処を実施している。なお、一部の事業会社においては2024年3月まで対応を継続中だ。加えて、持株会社の内部監査部門がいくつかの事業会社や子会社に対して直接往査を実施したとのことだ。

  • 対応スケジュール

    対応スケジュール

本格対策は今後3~4年かけて300憶円規模で実施

本格対策に際しては、対策の策定において考慮すべき15項目を持株会社から指示した。なお、一律での指示ではなく、事業特性などを踏まえて各社社長の責任の下で対策の策定を進めているそうだ。

先の情報漏えいが内部不正により発生したことを受けて、今後は性善説ではなく性悪説や性弱説(人は本来弱いものであり、この弱さにより間違いや問題が起こるという考え)に基づいた対策とする方針が示された。

2月末までに、すべての国内の直接帰属会社24社が、その子会社・孫会社の分も含めて対策を策定し、持株会社に提出した。一部は設備投資など複数年にわたるようだが、基本的には2024年度内に本格対策を終了する予定。

なお、同社は今後について、ITインフラやセキュリティに対する投資だけでなく、人材の育成や配置、受託契約時のリスク判断、内部監査の強化など、網羅的にリスクへの対策を進める。今後3~4年でグループ全体で300憶円程度の予算規模だとしている。

  • 本格対策の具体例
  • 本格対策の具体例

    本格対策の具体例

NTTグループ横断での対応例

NTTの持株会社としても、包括的な対策によりグループ全体のセキュリティを向上させていく方針だ。まず、グループCISO委員会を開き、各事業会社の課題や対策のベストプラクティスを共有する機会を作る。加えて、グループ全体でのITシステムの共通化を進め、セキュリティの向上を図る。

さらに、同社が2022年に全面改訂していたというセキュリティポリシーを浸透させるためにキャラバンを実施するほか、全社員向けの検収を実施し内部不正への注意を喚起する。

その他、USBメモリを禁止した場合の代替となるソリューションや特権アカウント管理のソリューションを社内に提示したり、それらのソリューションの活用事例をグループ内で共有したりなど、技術的な支援も実施するとのことだ。

またリソースが不足している帰属会社に対しては、持株会社が人材や費用などのリソースを提供するとしている。

  • NTTグループ全体でのアプローチ

    NTTグループ全体でのアプローチ

NTTグループのCISOを務める横浜信一氏は「NTTグループでは自社の情報資産を守ることはもちろん、ICT会社としてお客様向けのセキュアな商用サービス提供や、お客様から預かった情報資産を守ることも同様に重要となる。継続的にセキュリティ強化の取り組みを進めたい」と、展望を語っていた。

  • NTTグループ CISO 横浜信一氏(写真左)

    NTTグループ CISO 横浜信一氏(写真左)