個人情報保護委員会は9月11日、西日本電信電話(NTT西日本)の子会社のNTTマーケティングアクトProCX(以下プロクス)らにおける不正持ち出し事案に対する行政上の対応を公表した。
コールセンター業務を手がけるプロクスらは2013年7月~2023年2月ごろにかけて、委託元である民間事業者30社などの合計約928万人分の個人情報を漏えいした。
個人情報保護委員会の公表資料では、事案の概要や経緯、関係事業者の是正状況についてまとめている。
個人情報保護委員会は2024年4月26日から5月10日にかけて委託元(情報漏えい事案の対象となった民間事業者30社や地方公共団体38団体など)に対し報告を求め、プロクスとコールセンター業務に関するシステムの提供や保守運用を手がけるNTTビジネスソリューションズ(以下BS)に対する監督状況を調査した。
これによりプロクスと委託元の間の委託契約書における取り決めや、プロクスの個人データ取扱状況の把握について、不十分な点があることが判明したという。
個人情報保護委員会はプロクスとBSに対して、情報漏えいの詳細、両社の安全管理措置の実施状況、同事案の過去調査などについて報告を求めた。両社の不備に関する指導をし、再発防止策の実施や改善を認めたという。
BSの元従業者が持ち出した個人データの売却先である中央ビジネスサービスとネクストステージに対して、立ち入り検査を実施した。
個人情報保護委員会が両社に対して個人データの削除を求めたところ、両社はすでに消去済みだった。
個人データの取得、提供などに関して違法行為が認められたため、個人情報保護委員会として指導を実施し、報告を求めた。今後も法順守状況を注視するとした。
プロクス側では、NTT西日本の特設サイトで「NTT西日本グループの情報セキュリティ強化に向けた取組みの進捗状況」を公表している。
