【セキュリティ事件簿#2023-107】株式会社NTTドコモ 【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び 2023年7月21日


2023年3月31日(金)、株式会社NTTドコモ(以下、ドコモ)が「ぷらら」および「ひかりTV」※1に関する 業務を委託している企業において業務に使用しているパソコンからお客さま情報が流出した可能性があることを ネットワーク監視によって確認したことについてお知らせしておりましたが、その後の内部調査などにより、業務委託先である株式会社NTTネクシア(以下、NTTネクシア)の元派遣社員が、お客さま情報を含む業務情報を不正に外部に持ち出したことがわかりました。

不正に外部に持ち出された情報について、現時点では第三者による不正利用などは確認されておりませんが、 このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び 申し上げます。

なお、本事案の対象となるお客さまには、順次個別にご連絡をさせていただきます。

1. 本件の概要

ドコモが「ぷらら」および「ひかりTV」の販売支援業務を委託しているNTTネクシアにて業務に従事していた元派遣社員が、業務に使用しているパソコンから個人として契約する外部ストレージへアクセスし、2023年3月30日(木)にお客さま情報を含む業務情報を不正に持ち出しました。

(1)不正に持ち出されたお客さま情報の件数
約596万件
2023年3月31日(金)のドコモからのお知らせでは最大約529万件としていましたが、その後の調査の結果、持ち出された件数は約596万件とわかりました。

(内訳)
・個人向けインターネット接続サービス「ぷらら」のお客さま情報 165万件 
・「ひかりTV」のお客さま情報  431万件
※既に解約されたお客さま情報も含みます。
※「ぷらら」と「ひかりTV」両サービスをご利用のお客さまについては、「ぷらら」の件数に含まれております。


(2)不正に持ち出されたお客さま情報の内容
    1. 個人向けインターネット接続サービス「ぷらら」のお客さま情報
      氏名/住所/電話番号/フレッツ回線ID/お客さま番号の一部

    2. 「ひかりTV」のお客さま情報
      氏名/住所/電話番号/メールアドレス/生年月日/フレッツ回線ID/お客さま番号の一部
※クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

2.発覚の経緯とドコモの対応

NTTネクシアで業務に従事していた元派遣社員が使用していたパソコンから業務では行うことがない外部への通信が発生したことを、2023年3月30日(木)にネットワーク監視によって検知しました。

直ちに、当該のパソコンをネットワークから隔離したうえでのフォレンジック調査※2、同一ネットワーク内のすべての 端末のログ・状況の確認、およびNTTネクシアと共同で元派遣社員本人へのヒアリングなどを実施し、持ち出された可能性のあるファイルの特定を進めてまいりました。

また、内部調査を継続するとともに警察へ相談も行っており、捜査に協力してまいりました。

現時点では、外部ストレージへの第三者によるアクセスや当該情報の不正利用については確認されておりませんが、引き続きインターネット上の監視および事実確認を行ってまいります。

今後新たな事実がわかった場合は、ドコモのホームページにてお知らせいたします。

3. 今後の対応と再発防止策

ドコモは今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて努力いたしますとともに、同様の事態が再び発生しないよう、お客さま情報を取り扱う全業務について再点検を実施、同様の環境で業務を行っていたものについて是正措置を完了しております。

今後、業務委託先を含め個人情報管理体制の一層の強化を図ってまいります。

4. お客さまへのご対応について

本事案の対象となるお客さまには、準備が整い次第、順次個別にご連絡をさせていただきます。

ご連絡は、メールまたは郵送にて実施いたします。なお、ご連絡内容本文にはインターネットサイトへのリンク先URLは記載いたしません。

なお、「ぷらら」および「ひかりTV」のご契約状況によっては、一人のお客さまに複数のご案内が届く場合がございます。

今回の事実を厳粛に受け止め、お客さまのご不安の解消に向けて努力いたしますとともに、同様の事態が再び発生しないよう、業務委託先を含め個人情報管理体制の一層の強化を図ってまいります。

※1:本事案の「ひかりTV」に含まれるサービスは以下のとおりです。
・ひかりTV  ・ひかりTV(アプリ利用)・ひかりTV ショッピング・ひかりTVミュージック ・ひかりTV ゲーム ・ひかりTV ブック

※2:フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出したり、サーバや通信機器などに蓄積された通信記録か違法行為の証拠となる活動記録を割り出し、記憶装置から証拠となるデータを割り出すなどの調査のことです。