こんにちは。弁護士の浅見隆行です。
ブログを書く暇もないくらい追い込まれていたので1週間ぶりの投稿です。
2023年10月17日、NTT西日本が顧客情報の不正流出を公表しました。
NTT西日本の業務委託先であるNTTマーケティングアクトProCX(以下、ProCX)と、ProCXにシステムを提供していたNTTビジネスソリューションズ(以下、BS)から顧客情報が流出しました。
今回は、ProCXとBSによる危機管理広報が丁寧でわかりやすいことを中心に取り上げます。情報保存管理体制と情報漏えいに向き合う姿勢についても触れます。
顧客情報流出の概要
ProCXとBSが連名で公表した内容を整理によると、以下のとおりです。
- NTT西日本は、ProCXにアウトバウンドテレマーケティング業務を委託していた。
- ProCXは、BSが提供するコールセンターシステムを利用している。
- BSで同システムの運用保守業務従事者(元派遣社員)が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、顧客情報を不正に持ち出した。
- 10月17日時点で、顧客情報数:約900万件 クライアント数:59がProCX、BSから不正に持ち出されたことが判明している。お客様情報は、クライアントから預かった顧客の個人情報(氏名/住所/電話番号等)。うち2クライアント、81件の顧客情報にはクレジットカード情報も含まれている。
原因や再発防止策の公表
ProCXとBSは当該運用保守業務従事者が顧客情報を不正に持ち出すことができた原因や再発防止策をパワポ資料を使って詳細に説明しています。
以下の図は、ProCXとBSが発表したパワポからの引用です。
ProCXとBSの危機管理広報のわかりやすさ
パワポで図解を駆使した広報
ProCXとBSは今回の広報ではパワポに事案を整理したことで、情報をわかりやすく伝えることに成功しました(MacのKeynoteやGoogleスライドかもしれませんが、プレゼン用アプリという意味でパワポとして説明します)。
個人情報が流出したときに、自社サイトに概要を載せ、さらにWordをPDFファイル化した資料を掲載する例はよく見かけます。もちろん、Wordでもわかりやすい資料を作成することはできます。
しかし、ProCXとBSはパワポを使い、
- 流出経路を図解する(ページ7)
- 流出原因が4つに整理できると一覧化する(ページ8)
- 各流出原因に対応する再発防止策を並記する(ページ9以下)
- 再発防止策をそれぞれ具体的なイメージ図とともに解説する(ページ9以下)
という工夫を施し、情報の受け手に誤解なく伝えたい情報を届けることに成功しています。
Wordを使い文章だけで情報を発信すると、情報の受け手は一々文章を読まなければいけませんが、パワポなら情報の受け手はイラストを見れば概要を知ることができます。
Youtubeなど動画配信サイトが一般化した今の時代にあった危機管理広報とも言えます。
Wordで文章を書くのが苦手だけれどもパワポで箇条書きや図解化するのが得意な広報担当者にとっては、自社サイトには概要だけを公表し、詳細はパワポを使って説明する、という今回のProCXとBSによる危機管理広報の手法は、非常に参考になるように思います。
ぜひ、ProCXとBSが公表したパワポの資料を一読することをお勧めします。
広報のタイミング
今回、NTT西日本、ProCX、BSが公表したタイミングについて、パワポ資料には、事件発覚から公表に至るまでを時系列で整理し、その中で、以下のように説明しています。
■2023年9⽉28⽇、10⽉9⽇
お客さま情報が不正に持ち出されたクライアントさまを順次特定いたしました。
(計59、計約900万件)資料6ページ
準備が整ったクライアントさまから順次、情報連絡、事前対応を進めた上で、本⽇、公表させていただきました。
2023年9月28日に特定できはじめたのに、公表したのは10月17日ということなので、約3週間が空いています。
本来なら情報漏えいの可能性が判明した時点で第1報を広報し、詳細判明後に第2報を広報するのが筋です。
その観点からはやや時間が空いているようにも思います。
しかし、今回のケースでは、「準備が整ったクライアントさまから順次、情報連絡、事前対応を進めた上で、本⽇、公表させていただきました」と、なぜタイムラグがあったのか、隠蔽せずに公表する前から関係者には連絡済みであることを説明しています。
これによって、隠蔽するつもりで遅れたのではないことが伝わってきます。
とはいえ、NTT西日本が10月10日に報告を受けたのに、17日まで公表しなかったことについては批判の声も上がっています。
情報の保存管理体制
BSの運用保守業務従事者が情報を持ち出せたことは、BSの取締役の情報保存管理体制の構築・運用に関わる責任、さらにグループ・ガバナンスとして親会社の取締役の責任が問題になる可能性があります。
例えば、過去にはベネッセでもアクセス権限を悪用し、個人情報をダウンロードし、端末に外部記憶媒体を接続して、それを第三者に売却する事案が発生しています。
ベネッセのケースでは、ベネッセHDの取締役のグループ・ガバナンスの責任が株主代表訴訟で争われました。
ベネッセのケースと類似の情報漏えいなので、こうした手法での情報漏えいを予防する体制を整備していなかったことは取締役の責任にならないか、親会社(最終的にはNTTなのでしょうか?要確認です)の取締役のグループ・ガバナンスの責任が問題になりえます。
情報保存管理体制と取締役の責任については以前に投稿したことがあるので、そちらを見てください。
情報漏えいの可能性があるとの第一報に向き合う姿勢
ProCXとBSが公表した資料によると、今回の情報漏えいはProCXの取引先からの問い合わせ、その後の警察からの捜査がきっかけで判明しました。
産経新聞の報道によると、問い合わせたのは山田養蜂場であるようです。
個人情報の流出の可能性があるとの第一報が入ったときに、「危機管理の場面だ」との緊張感が走らないと「どうせそんなことあるわけがない」との思い込みで、その後の調査が緩くなることがありがちです。
この初動の姿勢が、その後の危機管理の成否に影響します。
引用したProCXとBSが公表したパワポ資料によると、2022年4月に取引先から問い合わせがあったときには事実を把握できなかったのに、7月に警察からの捜査を受け協力したら事実を把握できたということです。
4月には発見できなかった理由が、調査の内容が違ったからなのか、調査の真摯さが違ったからなのか気になるとことです。
なお、今年の6月に元従業員が不正競争防止法違反で逮捕されたジェイ・エス・ビーのケースでは、1月に情報漏えいの可能性が指摘された時点から公表し、向き合っていたので早期の逮捕に至っています。
この件も以前に投稿したことがあるので、そちらを見てください。
