第1 事案の概要
多数の民間事業者及び地方公共団体等から委託を受け株式会社 NTT マーケティングアクト ProCX(以下「ProCX 社」という。)が行っていたコールセンター事業に関し、コールセンター業務で用いるシステムの保守運用を同社から委託された NTT ビジネスソリューションズ株式会社(以下「BS 社」という。)に所属し、システム保守運用業務に従事していた者が、委託元の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより、漏えいした事案である。
第2 詳細な対応内容等
1 事案の詳細及び法律上の問題点
「(資料1-2)株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(詳細資料)」(以下「詳細版」という。)を参照。
2 ProCX 社に対する対応
⑴ 個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 148 条第1項に基づく勧告
本件では、個人データの不正な持ち出しが 2013 年から 2023 年までの間という長期間にわたって反復的に行われており、影響を受けた個人データは、民間事業者 30 社、独立行政法人1機関及び地方公共団体 38 団体から委託されたもので、判明しているものだけで約 928 万人分と多数にのぼっている。
ProCX 社は、2022 年に委託元の一つから個人データの漏えいに関する調査依頼があり、BS 社と共に調査(以下「過去調査」という。)を実施したが、当時十分な調査が実施できておらず、不正な持ち出しによる漏えいを是正できなかった。ProCX 社は、過去調査において十分な調査が行われなかった経緯及び原因を未だに明らかにできておらず、当委員会への
報告もできていない状態であり、自社における個人データの取扱状況を把握するための組織体制が、現状においても十分でない。ProCX 社が、現在においても、多数の個人データや保有個人情報の取扱いを委託され、業務を継続していることからすると、この状態を放置しておくことは、個人の権利利益を侵害するおそれが高い。
したがって、法第 148 条第1項に基づき、法第 23 条の規定違反(組織的安全管理措置の不備。詳細版、第3の1(1)及び第4の1(1)。)を是正するために必要な措置として、当該違反行為を是正するために必要な措置をとるよう勧告する。
⑵ 法第 147 条に基づく指導
その他に確認された法第 23 条が求める安全管理措置及び法第 25 条が求める委託先の監督の不備(詳細版、第3の1(2)、第3の3、第4の1(2)及び第4の3。)については、問題点を改善するよう指導する。
⑶ 法第 146 条第1項に基づく報告等の求め
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。
3 BS 社に対する対応
⑴ 法第 148 条第1項に基づく勧告
BS 社は、前記2⑴で述べた ProCX 社と同様、過去調査における不適切な調査報告の経緯及び原因を未だに明らかにできておらず、自社における個人データ等の取扱状況の把握を行うための組織体制が現状においても十分でない。
BS 社が ProCX 社から委託を受けて、現在においても、多数の個人データ等を取扱い、業務を継続していることからすると、この状態を放置しておくことは、個人の権利利益を侵害するおそれが高い。
したがって、法第 148 条第1項に基づき、法第 23 条の規定違反(組織的安全管理措置のうち個人データの取扱状況の把握及び安全管理措置の見直し。詳細版、第3の2(1)イ(イ)及び第4の2(1)エ。)を是正するために必要な措置として、当該違反行為を是正するために必要な措置をとるよう勧告する。
⑵ 法第 147 条に基づく指導
その他に確認された法第 23 条が求める安全管理措置の不備(詳細版、第3の2(1)ア、第3の2(1)イ(ア)、第3の2(2)、第3の2(3)、第3の2(4)、第4の2(1)ア乃至ウ、第4の2(2)、第4の2(3)及び第4の2(4)。)については、問題点を改善するよう指導する。
⑶ 法第 146 条第1項に基づく報告等の求め
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。