2023年、NTT西日本の子会社の元派遣社員が内部不正によって、顧客情報の持ち出した事案は衝撃的だった。不正に流出された個人情報は900万件以上に及ぶという。しかも、10年近くにわたっていたというから、その驚きははかりしれない。
こうした個人情報は不正に持ち出されたあと、どうなるのか。企業としてどのような対策が必要か。そして、情報を盗み出す人の心理とは。J-CASTニュースBiz編集部は、詐欺・悪質商法ジャーナリストの多田文明氏に話を聞いた。
個人情報の900万件以上の流出 3つの問題点
――2023年10月に明らかになったNTT西日本の子会社での不正流出(※編集部注)は、約900万件に及ぶ大規模なものでした。しかも、10年にわたって流出させていた可能性があり、驚きます。どうしてこれほどの大事が、これまで明るみになっていなかったのか。背景として、どのようなことが考えられますか。
多田文明氏 企業の危機意識が低いことが挙げられると思います。今回のNTT西日本の子会社と類似のケースとして、2014年に通信教育大手のベネッセコーポレーションが顧客情報の流出を起こしていますが、その時の教訓がまったく生かされていなかったと感じます。
――ベネッセの事案では、最終的に流出した顧客情報は3500万件以上でした。
多田氏 そのうえ今回のNTT西日本の子会社の件では、1年前にもクライアントから「自社の顧客情報が流出しているのではないか」と問い合わせがあった。しかし、調査したが、その時点では把握できなかった、ということでした。このあたりにも不備を感じます。なぜ、そこで突き止められなかったのか、と。今回、システムの運用保守業務従事者が流出させているので、あらゆる人が情報を持ち出せる環境にあった点も問題ですね。
(※編集部注)
NTT西日本の子会社にあたる、株式会社NTTマーケティングアクトProCXと、NTTビジネスソリューションズ株式会社は2023年10月17日、顧客情報の約900万件が不正持ち出しによって、流出したと発表した。
発表資料や報道によると、不正流出に携わったとされるのは、NTTビジネスソリューションズの元派遣社員。コールセンタシステムの運用保守業務の従事者だった。同氏はシステム管理者アカウントを悪用し、サーバーへアクセス。業務で使用していた端末などから、顧客情報を不正にダウンロードして持ち出されていたという。
ファイル更新日時情報から、持ち出しが発生したのは2013年7月ごろから。約10年にわたって不正に持ち出された情報は900万件以上、クライアント数は59。流出した情報は、氏名、住所、電話番号など。81件は、クレジットカード情報が含まれていることが確認されている、とした(23年10月時点)。
――そうした問題点については以後、対処策を徹底するとともに、情報管理の体制強化を図るということです。ところで、こういった情報流出をさせてしてしまう人の心理とは、どのようなものでしょうか。
多田氏 お金欲しさがあるでしょう。
――お金、ですか......。
多田氏 そうです。今回のケースが必ずしも当てはまるかどうか、また現時点(2023年12月末)ではどのような素性の名簿業者に売却されたかも明確な報道がないので、あくまで一般論としてお話ししましょう。
そもそも「名簿業者」には正規のものと、そうでないものがあります。正規の名簿業者は関係機関に届け出るなど認可制になっています。これらの情報は、営業など企業活動に活用されます。一方で問題なのは、不正な手法で個人情報を入手する「闇の名簿屋」です。
――「闇の名簿屋」ですか?
最悪のケースでは、詐欺・犯罪集団の使う「闇の名簿」に...
多田氏 一般的に、個人情報を継続的に大量に持ち出すのは、「誰か」からの依頼があるケースが多いと考えられます。その「誰か」が「闇の名簿屋」と呼ばれる人や組織で、彼らのほうからお金に困っている人にアプローチします。
そして、依頼に応じて一度情報を持ち出してしまった人は、「闇の名簿屋」とかかわりができ、「次はこういう情報はないか」とまた声がかかることになり、大量の名簿流出につながってしまいます。こうして売られた「個人情報」は、犯罪者の間で流通する「闇の名簿」の元となるデータとなる可能性があります。
――「闇の名簿屋」がかかわる場合、高値で取引されるものなのでしょうか。
多田氏 これも一般論で言えば、名前や電話番号程度であれば、たいした金額にはならないと思われます。1件いくらではなく、全体でいくらという値付けがなされるようです。ところが、さまざまなデータを合わせ、名簿の精度を高める「名寄せ」と呼ばれる手法があります。このような組み合わせによって「価値」は高まります。あるいは、病院のカルテなどは家族構成や連絡先がわかるものなども。このような「闇の名簿」はいわゆる詐欺・犯罪の集団に売られていくわけです。たとえば、資産家の情報などは、「闇の名簿屋」から買い取っているのではないかと考えられています。
――恐ろしいですね。
多田氏 こうしたケースに発展していく可能性もあると考えると、やはり情報の扱い方について企業は、本当に深刻に考えなくてはいけません。いわゆる営業電話がかかってくる程度ならまだしも、名簿が漏れてしまった人の中に詐欺・犯罪などの被害者が出かねないからです。そういうことにまで思いを至らせることが大事だと思います。
いまの時代、悪意を持ったサイバー攻撃もあります。それについては、対策をしても脅威を防ぎきれない面もありますが、一方で、個人の不正にアクセスによる情報流出は人為的なものですから、チェック体制を強化するなどして、絶対に抑えなくてはならないものでしょう。
――ところで社内には、個人情報を持ち出しやすい立場にある人もいるのではないでしょうか。
多田氏 そうですね。わりと多いのは、信頼を置かれている人。たとえば、会社からお金を横領したり着服したりする事件でも、そういう人がかかわっていたりします。世代的にはミドル世代になるでしょうか。とくに長年、誰か一人に任せきりになってしまっているようなケースでは、「魔が差さない」ための対策を企業側はきちんととるべき。誘惑にかられ、情報(もお金も)を持ち出そうとしてしまう、その芽を早めに摘んでいくことが大切です。
―――なるほど。個人情報の流出が疑われるようなケースにおいて、個人への影響で考えられるものはありますか。
多田氏 個人情報が流出すると、たとえば不審な電話やダイレクトメールが急に来たり、増えたりすることが多いです。そういうときは疑ったほうがいいと思います。自衛策としてメールアドレスやパスワードの変更はもちろん、場合によっては電話番号の変更も検討したほうがいいでしょう。
【プロフィール】
多田 文明(ただ・ふみあき):詐欺・悪質商法ジャーナリスト(評論家・ルポライター)。取材活動として、街頭でのキャッチセールス等の勧誘先・現場等への潜入数は100か所以上にのぼる。多種多様な詐欺・悪質商法やその手口、詐欺師の心理術、マインドコントロールの手法などに精通し、テレビ・ラジオ出演、新聞・雑誌等の取材など多方面で活躍。著書に、『信じる者は、ダマされる。』(清談社Publico、2022年)ほか。