NTT西 森林社長が退任表明 子会社から個人情報不正流出で

「NTT西日本」の森林正彰 社長は、2月29日に開いた記者会見で、子会社の元派遣社員が900万件を超える個人情報を不正に流出させた問題の責任をとって、3月末で退任する意向を明らかにしました。

この問題では、NTT西日本の子会社の「NTTビジネスソリューションズ」で、コールセンターシステムの運用保守を担当していた元派遣社員が去年(2023年)2月までの10年近くにわたって委託元の69の自治体や企業などが保有する個人情報、およそ928万件を不正に流出させていました。
これについて、NTT西日本の森林正彰 社長は、29日に大阪市内で開いた記者会見で、「この社会的責任は極めて重大だ」などと述べ、3月末で退任する意向を示しました。
森林氏は、おととし(2022年)6月に社長に就任していて、就任から1年8か月で退任の意向を固めた形です。
そのうえで、森林氏は、今後、関係する役員や社員の処分も行う考えを明らかにしました。
この問題をめぐっては、おととし4月にマーケティング事業を手がけるNTT西日本の別の子会社に、取引先から顧客情報の流出について指摘が寄せられ、子会社2社が共同で社内調査を行いましたが、不正を見抜けず、被害の拡大を招きました。
これに関連し、NTT西日本は外部の弁護士でつくる調査チームによる検証結果を公表し、社内調査でログの改変や虚偽回答などの不適切な対応が行われていたことを明らかにしました。
そのうえで、NTT西日本は、▼データの持ち出しなどへのチェック体制を強化するとともに、▼情報セキュリティーに関する部署を統合して新たな組織を立ち上げたうえで、100人規模まで増員することなどを柱とした再発防止策をまとめ、これらの対策に3年程度でおよそ100億円を投じるとしています。
元派遣社員は、企業の顧客情報を不正に持ち出し名簿業者に漏えいしたとして不正競争防止法違反の罪で起訴されています。

【子会社の調査についての検証結果と再発防止策】
今回の問題をめぐっては、おととし(2022年)4月にマーケティング事業を手がけるNTT西日本の子会社に、取引先から顧客情報の流出について指摘があり、NTT西日本の子会社の「NTTビジネスソリューションズ」など子会社2社が共同で社内調査を行っていました。
これについて、NTT西日本は29日、外部の弁護士からなる調査チームによる検証結果を公表しました。
それによりますと、当初の社内調査は子会社の部長や担当者など社員4人で行われましたが、▼ログを改変した上で「問題ない」と回答したり、▼「端末にUSBポートがない」といった虚偽の回答を行ったりするという不適切な対応が確認されたということです。
これについて調査チームは、▽司令塔の役割を担う社員が不在だったことに加え、▽取引先と対話する姿勢が不足していたことが背景にあったと指摘しています。
その上で、調査を行った4人に情報漏えいを隠す意図はなかったものの、情報漏えいに関する危機意識や対処能力が低く、極めて重大な問題があったとしています。
こうした問題を踏まえ、NTT西日本は、▼リスクの視える化、▼リスクがある箇所の最小化、▼監視の高度化・点検の徹底、▼情報セキュリティー体制の強化といった4つの再発防止策を取るとしています。
具体的には、▽NTT西日本グループで使う「リスク管理シート」に顧客情報を持ち出す権限がある者の氏名や持ち出し期間といった内部不正に関する項目を追加したり、▽業務用サーバーにアクセスするためのアカウントや権限を集中的に管理したりするほか、▽端末や認証などに関するログを収集し、通常とは異なる操作が行われていないか監視するとしています。
会社は、こうした対策に100億円規模の費用をかけるとともに、内外からの情報漏えいを防ぐため、2つの組織を統合し100人程度の新たなセキュリティー組織を設立するということです。

【調査チーム弁護士“子会社による社内調査は「作業」”】
今回の個人情報の流出を受けてNTT西日本が設置した調査チームの畝本毅 弁護士は「子会社による社内調査は『調査』と呼ぶには似ても似つかず、『作業』でしかなかった。事なかれ主義的な対応が繰り返されたほか、一部で虚偽回答がなされるなど、極めてずさんなものだった」と述べました。
そのうえで、畝本氏は「会社として猛省してほしい。再発防止策をじっくり作ってもらい、信頼を取り戻していく必要がある」と述べました。

【社長“過去の調査の内容ずさん”】
NTT西日本の森林社長は、おととし(2022年)4月に顧客からの情報流出の指摘を受けて、子会社が行った社内調査について、「過去の調査の内容はずさんなもので、重大な問題があった。この時点で事実が判明していれば、もう少し早く解決したことを考えると、非常に残念だ」と述べました。

【社長“グループ全体で再発防止に”】
NTT西日本の森林社長は29日の記者会見で、今回の個人情報の不正流出を受けて、グループ全体で再発防止に取り組む考えを明らかにしました。
具体的には、▼アカウントや権限を集中的に管理してデータの持ち出しなどへのチェック体制を強化するとともに、▼情報セキュリティーに関する部署を統合して新たな組織を立ち上げ、100人規模まで増員するなどとしています。
会社は、3年程度かけてこれらの対策におよそ100億円を投じる方針です。
森林社長は「同様の事案を再び発生させることがないよう、会社経営層の強い意志のもと、組織文化に根ざした行動様式を社員1人1人とともに見つめ直すとともに、情報セキュリティーの強化に向けた取り組みを着実に実行していくことで、お客様や社会の皆様からの信頼回復に努めてまいります」と述べました。

【社長“元派遣社員に対する民事訴訟を検討”】
NTT西日本の森林社長は29日の記者会見で「私どもは不正に情報流出をされていた側なので、ある意味、被害者になる。しかし、そういった行為がやりやすい環境になっていて、それが10年以上続いていたことは会社として反省すべき点だ。元派遣社員に対して、民事訴訟で責任追及することを検討している」と述べました。

【社長“処分は しかるべき時期に適正な範囲で”】
NTT西日本の森林社長は29日の記者会見で、「今回の事案に関わった役員や社員の処分はしっかり実施する予定だ。処分はしかるべき時期に適正な範囲でやっていく」と述べ、関係者の処分を検討していることを明らかにしました。

【個人情報流出の経緯は】
NTT西日本の子会社、「NTTビジネスソリューションズ」でコールセンターシステムの運用保守業務を担当していた元派遣社員が去年(2023年)2月までの10年近くにわたって情報を不正に持ち出していました。
その後の調査で、関係する自治体や団体が相次いで明らかになり、流出した個人情報は委託元の69の自治体や企業などが保有するあわせておよそ928万件に上っています。
会社側によりますと、この元派遣社員には顧客情報の入ったサーバーにアクセスする権限が与えられていて、サーバーから自身が業務で使用する端末に情報をダウンロードできるようになっていました。
そして、その端末にはUSBメモリなどの外部記録媒体を接続でき、情報を持ち出すこともできたということです。
おととし(2022年)4月にはマーケティング事業を手がけるNTT西日本の別の子会社に、取引先から「自社の顧客情報が流出している可能性があるので、社内調査を実施してほしい」という依頼があり、会社が調査をしたものの、不正に気づけず、被害が拡大する結果となりました。