NTT西日本子会社での900万件情報漏えい (続報)

日本経済新聞は10/28、「元派遣社員が3重の内規違反 NTT西系の情報流出」と伝えました。例のNTT西日本の子会社から派遣社員により顧客の個人情報約900万件が不正に持ち出された事件の続報ですね。初報はたしか10/17でした。

3重の内規違反

元派遣社員の少なくとも3つの行為が情報セキュリティーに関する社内ルールに違反していたといいうこと。顧客データの取り扱いに関し確認された社内ルール違反は、①業務外で作業端末にダウンロード、②私物USBメモリーに保存、③承認を得ず持ち出し、の3つだそうです。

まぁ、いずれも皆さんの会社でも同様に決められているルールだと思いますが、問題はどれだけ本気でそのルールを作っていたかということ。本気ならそのルールを厳守できるような環境を整えているはずです。

業務外で(業務時間外で)のアクセスを検知する仕組みをなぜ設けていなかったのかってことです。そして最もビックリなのは、②の私物USBメモリーにデータをダウンロードできちゃってることです。kuniが勤めていた金融機関では少なくとも10年前にはUSB用ソケットを殺していましたよ。

データのダウンロードはできなくしていたけど、通電だけはしていて、そのソケットでスマホを充電するのはアウトかセーフか、、、みたいな笑い話のようなことも同業さんでは起きていました。

世界を先導しようとしている情報通信企業で

ネットワークだけでなく端末処理まで光化する「オールフォトニクス・ネットワーク」(IOWN構想)を進めるNTTのグループ内企業で、社内ルールで禁止してはいたものの、社内端末のUSBソケットが生きたままでした。ごめんなさい、では、あまりにシャレになりません。