NTTドコモ、約596万件の顧客情報流出業務委託先からの漏えいをどう防ぐか

事件の概要

2023年3月31日、株式会社NTTドコモ（以下、ドコモ）は業務委託先の企業の業務用PCから顧客情報が流出した可能性があることを明らかにしました。流出した情報は個人向けインターネット接続サービス（ISP）「ぷらら」及び「ひかりTV」の顧客情報で、氏名、住所、電話番号などが含まれます。なおクレジットカード情報及び金融機関口座情報などの決済関連情報は含まれていなかったとのことです。^※1

同年7月21日、ドコモは顧客情報の流出元が業務委託先である株式会社NTTネクシア（以下、NTTネクシア）の元派遣社員であることを公表しました。元派遣社員は業務用PCから個人契約する外部ストレージへアクセスし、顧客情報を含む業務情報を不正に持ち出していました。持ち出された顧客情報は約596万件に及ぶとのことです。

ドコモは持ち出された情報について、現時点では第三者による不正利用などは確認されていないとし、本事案の対象となるお客さまには順次個別に連絡するとしています。^※2

事件発覚の経緯とドコモの対応

ドコモが自社のウェブサイトに掲載した事件発覚の経緯と対応については以下の通りです。^※2

2023年3月30日、NTTネクシアの元派遣社員が使用していたPCからの不正な外部通信を検知
当該PCをネットワークから隔離した上でフォレンジック調査
同一ネットワーク内の全端末のログ・状況確認
NTTネクシアと共同で元派遣社員本人へのヒアリングを実施、持ち出された可能性のあるファイルの特定を進める
内部調査と同時に警察への相談と捜査協力を行う

前述の通り、現時点での外部ストレージへの第三者によるアクセスや当該情報の不正利用は確認されていませんが、引き続きインターネット上の監視および事実確認を行っていくとのことです。

業務委託先からの漏えいは止められるか

近年、業務委託先からの情報漏洩被害が増加しており、企業は迅速な対策が求められています。委託先からの漏洩には、大きく2つのパターンが存在します。一つは委託先企業が第三者によるサイバー攻撃を受け、情報が漏洩してしまうケース（サプライチェーン攻撃など）であり、もう一つは委託先企業の社員など関係者による故意または過失による漏えいが起こるケースです。例えば、2022年6月に尼崎市で発生したUSBメモリー紛失事件は後者に該当します。

今回、ドコモで発生した事案も後者のパターンと言えます。特に、委託先の従業員による故意の情報持ち出しを防ぐのは非常に困難であり、ドコモが迅速に対応できたのはネットワーク監視などセキュリティ意識が高かったためと考えられます。

しかしながら、ネットワーク監視は検知はできても情報漏洩自体を食い止めることができません。これは、このようなツールの主な役割が不正行為の抑止や漏えい者の特定に効果を発揮するものであり、漏えい自体を止めるものではないためです。

では、情報漏えい自体を食い止めるための良い方法はあるでしょうか。

業務委託先へファイルを安全に共有するには

業務委託先へ安全にファイル共有するためには、IRM（Information Rights Management）による暗号化がお勧めです。IRMは任意のファイルを暗号化し、さらに利用権限（閲覧、編集、印刷など）を設定することができます。パスワード付きZipなどとは異なり、ファイルの暗号化を解除せず閲覧、編集などの操作を行うことができるため、委託先の社員が暗号化を解除してファイルを持ち出すのを防ぐことができます。暗号化と同時にファイルの利用期限を設定すれば、期限後は一切ファイルアクセスできなくすることも可能です。

このように、ファイル単位で暗号化によるアクセス制御をかけることで、ファイルがメールやシャドーITなどで外部に持ち出されたとしても、持ち出された先でファイル利用を禁止することが可能です。

最後に、弊社はIRMシステム『DataClasys』の開発・販売を行っております。DataClasysはIRMによる暗号化と権限制御を3DCAD含むすべてのファイルに対して実現することが可能です。そのため、業務委託先へのサプライチェーン攻撃によるファイル窃取から内部犯による故意の持ち出しまで、多くのセキュリティリスクによる情報漏洩を防ぎます。

詳しい仕組みや特徴についてご興味のある方は、下記より資料ダウンロード下さい。

カタログ・製品説明資料をダウンロードする

価格・ライセンス体系について詳しく見る