個人情報保護委員会は、本日、株式会社 NTT マーケティングアクト ProCX 等における不正持ち出し事案に対する個人情報の保護に関する法律(平成 15 年法律第 57号)に基づく行政上の対応について、以下資料のとおり、取りまとめましたので、お知らせいたします。
第1 事案の概要
1 株式会社 NTT マーケティングアクト ProCX(西日本電信電話株式会社(以下「NTT 西日本」という。)が 100%出資する子会社。以下「ProCX 社」という。)は、多数の民間事業者及び地方公共団体等から委託を受け、商品販売等や健康診断等の行政上の通知に係るコールセンター業務(以下「コールセンター業務」という。)を行っている。
2 本件は、平成 25 年7月頃から令和5年2月頃にかけて、ProCX 社のコールセンター業務に関するシステムの提供及び保守運用を行っている NTT ビジネスソリューションズ株式会社(NTT 西日本が 100%出資する子会社。以下「BS 社」という。)の元従業者(派遣会社から BS 社に労働者派遣されていた派遣社員。以下「X」という。)が、委託元である民間事業者 30 社、独立行政法人1機関及び地方公共団体 38 団体(以下まとめて「本件委託元」という。)の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより漏えいが発生し、Xが名簿業者に売却した事案である。
第2 ProCX 社及び BS 社に対する対応状況
1 これまでの経緯
⑴ コールセンター業務を ProCX 社に委託していた本件委託元のうちの1社(以下「A社」という。)は、令和4年1月から3月に、同社の顧客から、「不審な投資の勧誘電話があり、A社から自身の個人情報が流出しているのではないか。」との問合せを複数回受け、顧客情報の漏えいの可能性が高いと認識した。そこで、社内調査、県警察への相談及び捜査依頼を行った。しかしながら、社内調査ではA社からの漏えいの事実は確認されなかったため、令和4年4月、大量に個人データ等の取扱いを委託する外部企業からの漏えいの疑いがあるとして、コールセンター業務の委託先であったProCX 社に調査を依頼したところ、ProCX 社は、BS 社と共に調査(以下「本件過去調査」という。)を実施したが、同年7月に、A社に対し、個人データの漏えいは確認されなかった旨を報告している。
⑵ 個人情報保護委員会(以下「当委員会」という。)は、令和5年 10 月 20 日、ProCX社及び BS 社に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 146 条第1項の規定により、漏えい事態の詳細、両社の安全管理措置の実施状況、本件過去調査等について報告等を求め、これについて、同年 11 月10 日、両社から報告書を受領した。しかしながら、同報告書では、ProCX 社及び BS社は、本件過去調査において不適切な調査報告が行われていたことは確認できているものの、不適切な調査報告が行われた経緯及び原因の解明には至っていないとして、明らかにしなかった。
⑶ 当委員会は、令和6年1月 24 日、ProCX 社及び BS 社に対し、本件過去調査における不適切な調査報告の経緯及び原因を未だに明らかにできていないことは、両社の組織的安全管理措置(個人データの取扱状況の把握及び安全管理措置の見直し)について不備があり、法第 23 条に違反していると認定し、法第 148 条第1項の規定により当該違反行為を是正するために必要な措置をとるよう勧告した。また、その他に確認された ProCX 社及び BS 社の安全管理措置等の不備については、問題点を改善するよう法第 147 条の規定により指導を行った。
⑷ ProCX 社及び BS 社は、当委員会に対し、令和6年2月 29 日に、本件過去調査における不適切な調査報告に至った経緯及び原因に関する報告書を提出し、同年3月 29日に、再発防止策の実施状況に関する報告書を提出した。
2 勧告に対する是正状況
ProCX 社及び BS 社は、当委員会が、本件過去調査においてA社に事実とは異なる内容を回答した経緯及び原因を調査し、問題点を明らかにするよう勧告したことに対し、令和6年2月 29 日付け報告書において、本件過去調査を検証し、複数の問題点があったものの、漏えいに繋がる端緒を意図的に隠蔽したものではなかったと結論付けている。また、発覚した複数の問題点についても、両社は、NTT 西日本が設置した調査委員会からの再発防止策の提言を受け、計画どおり同再発防止策を実施しており、ProCX 社及び BS 社における勧告に係る措置は現時点において一定の取組が認められるものである。
 |
| 勧告に対する是正状況(一部) |
3 指導に対する改善状況
ProCX 社は、当委員会からの人的安全管理措置(従業者の教育)及び委託先の監督(ProCX 社と BS 社との取り決め)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。
BS 社は、当委員会からの組織的安全管理措置(自主点検及びログの分析)、人的安全管理措置(従業者の教育)、物理的安全管理措置(USB メモリの利用)及び技術的安全管理措置(システム管理者アカウントのアクセス制御・システム管理者アカウントの共用・保守端末への個人データのダウンロード)の不備に関する指導に対して、再発防止策を実施しており、改善が認められた。
第3 本件委託元に対する対応状況
1 これまでの経緯
当委員会は、令和6年4月 26 日から同年5月 10 日にかけて、本件委託元に対し、法第146 条第1項又は法第 156 条の規定により報告等を求め、本件委託元による ProCX 社及び BS 社に対する監督状況を調査してきた。
2 本件委託元への対応
調査の結果、事案発生当時の本件委託元には、ProCX 社との間の委託契約書における取り決め及び ProCX 社の個人データ取扱状況の把握について、個人情報の保護に関する法律についてのガイドライン(通則編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)で求める委託先の監督措置と比較し、不十分な点があることが判明した。
本件事案におけるXによる不正持ち出しは、所属組織である BS 社においても長年気付けずにいたものであるため、本件委託元による委託先の監督措置の不備が原因で不正持ち出しの未発覚に至ったとまではいえないものの、本件事案による気付きを個人データの取扱いの委託を行う委託元全般に注意喚起することにより、委託先の取扱実態も含めて適切に監督を行うことへの意識を高めてもらえることに期待する。
 |
| 委託元に対する調査結果について |
第4 名簿業者に対する対応状況
1 これまでの経緯
Xが持ち出した個人データの提供先について情報収集に努めてきたところ、岡山県警察及び ProCX 社からの情報提供、令和6年5月 23 日に開かれた岡山地方裁判所津山支部での公判時のXの供述等により、持ち出した個人データが株式会社中央ビジネスサービス及びネクストステージ合同会社に売却されたことが明らかとなったため、当委員会は、同年6月 19 日に株式会社中央ビジネスサービス、同月 20 日にネクストステージ合同会社に対し、法第 146 条第1項の規定による立入検査を行った。
2 名簿業者への対応
当委員会は、株式会社中央ビジネスサービス及びネクストステージ合同会社に対する立入検査を実施し、両社共に、Xから個人データを取得していた事実を確認した。
また、当委員会は、両社に対し、Xから取得した個人データの削除を求めたところ、両社は既に消去済みである旨を説明し、当委員会において両社の個人情報データベース等から当該データの残存を確認することはできなかった。
両社には、Xからの個人データの取得、提供等に関して法違反が認められたため、以下のとおりの対応を実施した。
⑴ 株式会社中央ビジネスサービス
ア 以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、株式会社中央ビジネスサービスの法遵守状況を注視していくこととする。
① 不適正取得(法第 20 条第1項の規定違反)
Xから大量の個人データを取得するに当たり、Xによる個人データの提供が法第 27 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、法第 20 条第1項の規定に違反する。
② 第三者提供を受ける際の確認義務(法第 30 条第1項第2号)違反
Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。
イ 当委員会が法第 146 条第1項の規定により実施した報告等の求めに対し、虚偽の報告をした事実が確認されたため、刑事告発を実施する。
⑵ ネクストステージ合同会社
以下のとおり、法違反が認められたため、法第 147 条の規定による指導及び法第146 条第1項の規定による報告等の求めを実施することとし、今後1年間、3か月ごとに、個人データの第三者提供を受けた状況及び個人データの第三者提供をした状況を報告させることによって、ネクストステージ合同会社の法遵守状況を注視していくこととする。
① 不適正取得(平成 27 年改正法1第 17 条第1項の規定違反)
Xから大量の個人データを取得するに当たり、Xによる個人データの提供が平成 27 年改正法第 23 条第1項の規定に違反すること(第三者提供についての本人同意を得ていない等)を知り、又は容易に知ることができるにもかかわらず、Xから個人データの提供を受けて個人情報を取得していた行為は、平成 27年改正法第 17 条第1項の規定に違反する。
令和4年4月以降、法第 27 条第2項本文の規定(オプトアウト規定)により、Xから法 20 条第1項の規定に違反して取得した個人データを第三者に提供することは禁止されており(同項ただし書2)、本人同意を得ることなく当該個人データを第三者に提供していた行為は、法第 27 条第1項の規定に違反する。
③ 第三者提供を受ける際の確認義務(平成 27 年改正法第 26 条第1項第2号)違反
Xから個人データの提供を受けるに際し、Xから当該個人データの取得の経緯の確認を行っていなかった。
⑶ 詳細は、別紙3「株式会社中央ビジネスサービス及びネクストステージ合同会社に対する個人情報の保護に関する法律に基づく行政上の対応について」参照。
リリース文(アーカイブ)
