個人情報保護委員会は、株式会社NTTドコモ及び株式会社NTTネクシアに対し、令和6年2月15日に、個人情報保護法に基づく指導等を行いました。
指導等の対象となった事案は、ドコモ社が自社インターネットサービス等に関する事業に関し、ネクシア社に対し、電話営業用の顧客情報管理を含む業務を委託していたところ、ネクシア社の派遣社員であった者が、令和5年3月30日、顧客情報管理のために業務上使用するPCから、個人契約するクラウドサービスに無断でアクセスし、合計約596万人分の個人データを同クラウドサービスへアップロードすることにより、外部に流出させたものです。
本件の業務は、令和4年7月にドコモ社が株式会社NTTぷららを吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件の業務に関するネットワーク等の執務環境については、ドコモ社が定めた情報管理規程に一部適合しない事項(以下「基準不適合事項」という。)が存在していました。
しかし、ドコモ社は、この基準不適合事項について、速やかに技術的な対応を行うことが困難であると判断し、ぷらら社における運用ルールに従うことを条件として、令和4年12月まで(後に延長し、令和5年5月末まで)の時限的例外措置として、基準不適合事項を許容することにしていたということです。
そんな状況下でこの事案が発生しました。
ドコモ社及びネクシア社は、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で業務を行っていたということで、安全管理措置を徹底するように指導が行われました。
この件を“対岸の火事”で片付けず、これを機に、自社の個人情報の保護に関する安全管理措置に落ち度がないか、再確認しておきたいところです。
より具体的な内容は、こちらをご覧ください。
<株式会社NTTドコモ及び株式会社NTTネクシアに対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年2月15日)
https://www.ppc.go.jp/news/press/2023/240215_houdou/
