事故から学ぶ

NHK受信契約や集金を受託している会社社長が個人情報漏えい(続報)

事故概要

業種 NHK
発生時期 2019/10
漏えい人数 23人
事故概要

狙われた契約者情報 NHK委託先が詐欺グループに漏洩
企業、団体に集積した膨大な個人情報。デジタル化で活用の幅が広がる一方、悪用や漏洩も後を絶たない。もし情報を扱う関係者が犯罪集団に取り込まれたら……。NHK受信契約者の情報が特殊詐欺グループに流出した事件は、末端のほころびが大きな被害を招く危うさを浮き彫りにした。
10月、愛知県警に逮捕された男(29)は「名簿から高齢女性らしき名前を選んで、個人情報を伝えた」と供述した。
男は名古屋市に事務所を置く会社の社長だ。NHKから受信契約や集金の業務を請け負いながら、その裏では特殊詐欺の実行役に内通。ターゲットとする高齢者の情報を伝えていた。
NHKが貸与した業務専用端末内の契約者リストには年齢のデータがなかった。そのため、男は名前から高齢者と推察できる23人を選び出し「住所」「電話番号」「口座振替用の金融機関名」を実行役に電話で伝えたとみられる。
実行役はこれらの情報をもとに「あなたの口座から現金が引き落とされている可能性がある」と高齢女性をだましたとされる。このうち名古屋市の70代女性が実際に現金約50万円を引き出される被害にあった。
委託先の男と実行役はかつて別の職場の同僚だった。捜査幹部は「住所や金融機関名が分かれば犯行がしやすい。NHKの情報に注目した詐欺グループが、実行役らを通じて男に協力を求めた可能性もある」とみる。
NHKは事件を受け「委託先への指導をさらに徹底する」と説明。全国の委託先の情報管理について緊急で点検したほか、端末に表示される情報も減らしたという。
企業の情報管理に詳しい日本大の小向太郎教授は「経済効率を考えれば、個人情報の取り扱いを含む外部委託はやむを得ない」と指摘。その上で「委託元の企業は、必要最低限の情報しか出さないよう十分に精査し、目的外利用されていないか、監督を徹底する必要がある」と話す。
詐欺グループが狙う企業の「蓄積」は個人情報に限らない。2018年10月、日本郵便の委託業者の男2人が架空請求詐欺に関わったとして、名古屋地裁で実刑判決を受けた。詐欺グループは現金の受け渡し場面で摘発されるのを避け、回収を確実にするため、集配の委託を受けた業者を取り込んだとみられる。
男の担当は東京都府中市の郵便局での集配だった。架空の請求にだまされた高齢者が「ゆうパック」で市内の特定のアパートに宛てて現金入りの荷物を発送すると、それを持ち去っていた。
男は公判で「ヤミ金業者に借金があり、現金を回収するように指示された」と明かした。警察幹部は「詐欺グループが企業、団体が持つ個人情報や物流ネットワークに目をつけ、侵食し始めた恐れがある」として懸念を強めている。

引用元 ScanNetSecurity

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第22条)委託先の監督(第23条)第三者提供の制限(業務委託規則の整備)

チェックリストにある要求ルール:

委託先契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?
個人情報は法で定められた場合を除き、同意を得られない限り第三者提供しないことを守っていますか?
委託会社が勝手に再委託しないように契約しかつ管理していますか?
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか。

■ 推奨対策

対策:

委託先への監査チェックがなされていないため、問題が発生したと考えられる。不適切な行為に及ぶ可能性がある委託先を特定し、事前に排除するのは難しいことがあるが、監査を厳しくして「やったらバレル」意識や雰囲気を醸成をすることはできる。
とすれば監査機能が有効化していないことが問題の根源である。

具体例:

年に数回は委託先監査と教育を行い、個人情報保護を徹底させること。
委託先に対する監査機能を再構築し、きちんと機能させることが求められる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。