NTTデータが顧客の個人情報と不動産情報4312件を紛失 79
ストーリー by Oliver
ハリボテポリシー 部門より
ハリボテポリシー 部門より
k3c 曰く、 "NTTデータ株式会社が運営する不動産査定サービスなどを行うWebサイト「HOME4U」に登録された4312件の顧客情報(氏名、住所、電話番号、メールアドレス、売却を希望する物件の種別、所在地、土地・建物面積、売却希望価格など)を紛失するという事件が発生した(プレスリリース、お客様情報の紛失に対するお詫び)。同社がサイトの運用を委託していた株式会社ネクストの社員がノートパソコンを通勤途中に紛失した、ということだけ見ればよくあるケースだが、紛失に至るまでの経路がちょっと特殊であり注目に値する。
ネクストは自社でも「HOME'S」という不動産物件検索サービスサイトを運営しているのだが、IT Pro記事の伝えるところによれば、ネクスト自身も不動産査定サービスの開始を計画しており、そのための分析データとしてNTTデータが同社に預託していた顧客情報を取り出し、本来データへのアクセス権限を持たない社員に渡し、この社員が情報の入ったノートパソコンを紛失したのだという。"
"NTTデータでは対策として、(1)個人情報保護についての運用ルールを明文化し(…今までしてなかったのか?)徹底した、(2)お客さま情報へのアクセス権所有者の人数を絞った、(3)サービス提供に必要な個人情報以外は復元不可能な形に変換した、とし、さらに「ネクストへの業務委託内容含め、HOME4Uの全体の運営体制を抜本的に見直す」としている。
HOME4Uが提示していたプライバシーポリシーをWebサイト運営者自身が遵守していなかったわけで、顧客には詳しい経緯の説明があってしかるべきだと思うが、なぜかHOME4Uのお詫び文の方が簡潔なのが不思議。"
簡単にまとめ (スコア:3, すばらしい洞察)
・NTTにも、運用上のセキュリティorプライバシー保護の点で非がある
・ネクストは組織的に顧客のデータを盗んでビジネスをする会社である
・情報の流出
・ネクストは社内情報を安易に取扱う会社である
・ネクストは自社内の資産管理もずさんである (ノートPCが会社の資産なのか知らんけど)
今ある情報では、こんなところ?補足&修正よろしく
# この記事のタイトルが「NTTデータが~」にされてるのはちょっと可哀想な気もする。
Re:簡単にまとめ (スコア:1)
現時点では情報が少なすぎてなんともいえない気がする。
そもそもなんで明るみに出たんだ、この事件?ネクスト自体がNTTデータから盗んだ情報を利用しようとしてたのなら、もみ消す手段が無い訳じゃないだろうし。
データの経路が
NTTデータ→ネクストのアクセス権保持者→同アクセス権非保持者
→紛失
この流れだとネクストの社員の一部が(依頼は外部かもしれないが)データを他の誰かに渡したように見える。けど記事の内容だとリスクに合うだけの価値があるかなあ?
事件発覚の経緯がはっきりしないと全体像も見えてこない気が。
Re:簡単にまとめ (スコア:1)
Re:簡単にまとめ (スコア:1)
今回紛失したのは顧客から預託された個人情報です。社内情報という言葉が何を指すのか微妙ですが、少なくとも自社の情報ではありません。
> この記事のタイトルが「NTTデータが~」にされてるのはちょっと可哀想な気もする。
タイトルに関しては、預託した情報の管理方法が杜撰だったという点において、やはり最終的な非はNTTデータにあると考えます。
NTTデータ社員の許可なしにはアクセス権限のあるネクスト社員もデータを引き出せないようにしてデータを引き出す目的を聞いてちゃんと記録する、とか、NTTデータが管理している暗号鍵でデータを暗号化しておき、復号したデータを廃棄までトレースする、とか、何かしらやりかたはあるでしょう。面倒だけど。
Re:簡単にまとめ (スコア:0)
結局、データの盗難ってのは、今回だったら実データだけど
例えば「見て記憶する」なんてのもあるんだし。
結局委託というものは、相手を信頼して契約してるのだから
契約違反、裏切り行為まで未然に防げるセキュリティってのは
ないんじゃないだろうか。
Re:簡単にまとめ (スコア:1)
確かに、厳密に防止する方法ってのは無いだろうけど、色んな対策を組み合わせて実施するんだと思うよ。
Re:簡単にまとめ (スコア:1)
>その後も同じように当てはまると考えれば、社員の守秘義務違反や裏切り行為を未然に防ぐ方法は無いってことに
なるね。
そう、そうなんですよね。
いや、この間ちょっとした打ち合わせというか社内教育のディスカッションの場があったのですよ。大層なモノではありませんが。
で、「顧客からお借りしている重要書類について、紛失した場合のことを考えて、ある程度は対応を文書化しておく必要がある」(意訳)というような発言をした方がいて、そうだよなぁ、持ち逃げも事故もあるしなぁ、と感心していた所。
ちょこっと偉い方が「そんなことを明文化するなどと、後ろ向きでは困る。そんなことは前時代的だ。現代の考え方に則り、無くさないよう方策を立て、100%無くさないようにするべきだ」(意訳)などと発言なされて……。
今時根性論かと。前時代的なのはどっちかと(泣)。
や、実際に明文化すべきかどうかはリスクとの相談でしょうが。
(洪水で書庫が水没したときの対応、なんてのまで文書化してたら身が持ちません(苦笑))
Re:簡単にまとめ (スコア:1, 参考になる)
そういうときを全て考えていないの非難されるのがIT業界なんですよ(ぼうよみ
Re:簡単にまとめ (スコア:1)
NTTデータのプレスリリース [nttdata.co.jp]に再発防止策が書かれているのですが、それでサイトを問題なく運用しつつ今回の紛失を防止できたのなら最初からそうすれば良かったのだし、できないことではないように見えます。特に、運用ルールを明文化していなかった、というのはちょっとひどいと思います。直接サービス提供に必要ない個人情報を収集していたというのもよくない。
契約は信頼関係に基づくものだから、という意見には一理あると思いますが、だからといって押さえるべきところも押さえなくていいということにはならないはすです。
Re:簡単にまとめ (スコア:0)
委託せずNTTデータ内だけで仕事処理してればそりゃ起きなかっただろうけど
そこを非だと一方的に責めるのは酷だと思います。
契約次第ですがNTTデータは手を噛まれた被害者でしょう。
Re:簡単にまとめ (スコア:1)
契約する前にその会社を選定するにあたって
その会社をもっと多方面から評価する必要があったかと。
評価をしたにせよ
その評価が甘かった点についてはNTTデータは
非を間逃れないと思います。
ネクスト違い? (スコア:2, すばらしい洞察)
会社概要 [next-ltd.jp]を見ると、本社所在地も代表取締役社長の名前も違いますね。
株式会社ネクスト (スコア:2, 参考になる)
株式会社ネクスト 会社概要 [homes.co.jp]
ACさん#452948 [srad.jp]のコメントにある続報(同時に発生したHOME'Sからの流出)についてのプレスリリースはこちら。
「弊社社員のノートパソコン紛失による お客様データの紛失についてのお詫びとご報告」 [homes.co.jp]
Re:ネクスト違い? (スコア:1)
#どうでもいいけどID
Re:ネクスト違い? (スコア:1)
#4.2やRhapsody,Cheetah辺りはほとんど入れただけで終わったので同じくID
Re:ネクスト違い? (スコア:1)
Re:ネクスト違い? (スコア:2, 参考になる)
。
よくある単語ひとつの名前的には、多い方ではないようです。
438件ヒットしました [tdb.co.jp] とか。
Re:ネクスト違い? (スコア:1)
また、ワタシが間違えてリンクしてしまった株式会社ネクストの方には大変失礼しました。 _o_
ここでいうネクスト (スコア:0, 余計なもの)
Re:ここでいうネクスト (スコア:0, 余計なもの)
Re:ここでいうネクスト (スコア:1)
# securecatさんにはお気の毒ですけれども
# 私のカルマをひとつあげたい
Copyright (c) 2001-2014 Parsley, All rights reserved.
紛失の語感 (スコア:2, 参考になる)
データの入ったノートパソコンを紛失したのでデータが流出するおそれがあるってことだったんですねぇ。ここに紛失って言葉を使うの変な感じがします。
うぁ、最低っぽい。 (スコア:1)
ほう、NTTデータさんは顧客情報入りのノートパソコンを自宅に持ち帰る事を許可しましたか。ずいぶんと楽天的な情報管理ポリシーですねぇ。
Re:うぁ、最低っぽい。 (スコア:1, すばらしい洞察)
いやいや、タレコミによると
>ネクストは自社でも「HOME'S」という不動産物件検索サービスサイトを運営しているのだが、IT Pro記事の伝えるところによれば、
>ネクスト自身も不動産査定サービスの開始を計画しており、そのための分析データとしてNTTデータが同社に預託していた顧客情報を取り出し、
>本来データへのアクセス権限を持たない社員に渡し、この社員が情報の入ったノートパソコンを紛失したのだという
ということから、ネクストがデータを盗もうとしたとき
紛失したって見えるね。NTTデータは許可してないでしょう。
Re:うぁ、最低っぽい。 (スコア:0)
NTTデータの仕事したことあるけどよく下請けのせいにしていた記憶がある
情報の管理はネクストにマル投げしていたはずだから盗んだんじゃなくって初めからデータを持っていたはず
NTTデータがちゃんと自分たちで管理していればこんなことにはならなかったと思う
Re:うぁ、最低っぽい。 (スコア:1)
元技術部隊の人間が不慣れな営業に異動されましたが何か(;_;
会社によっては現場を覚えさせてから営業させる所もありますし異なる職場を「知る」程度なら問題無いのですが…
かと言って、知らないのも問題。
そのバランスよね(T_T
凛々しく、あほらしく。
Re:うぁ、最低っぽい。>キミが? (スコア:0)
委託先である株式会社ネクストの社員の仕業ですが何か?
委託先のセキュリティ管理は委託先に依存しますが何か?
#ID使って脊髄反射は恥ずかしすぎ。(w
Re:うぁ、最低っぽい。>キミが? (スコア:0)
という時点で個人情報は流出してると言えるんじゃないでしょうか?
ノーパソを紛失するしない以前に
NTTデー
NTTデータのプライバシーポリシー (スコア:1)
------------------
【株式会社NTTデータ 個人情報保護方針】
1.個人情報の適切な収集、利用、提供、預託
2)収集した個人情報は、正当な目的に合った範囲内で
第三者に提供する場合があります。その際は
収集目的を明らかにし、お客様から明確な同意を
頂いた上で適切に取り扱います。
3)収集した個人情報を、業務を円滑に進める等の理由で
第三者に預ける(預託する)場合があります。
その際は十分な個人情報保護の水準を備える者を選び、
契約等によって保護水準を守るよう定め、適切に
取り扱います。
【ホームページをご利用される個人の情報について】
3.第三者への提供
お伺いした情報は、下記に示す必要最小限の範囲で、
第三者に通知する場合があることをあらかじめご了承ください。
1)お客様の意思で、当ホームページ上でサービスを
提供しているページにおいて、個人情報を記入し
商品の資料請求、依頼、相談や購買などを
行った場合、広告主や商品販売主に個人の情報を
開示します。
2)当社の協力企業となりうる企業、広告主、
その他の第三者に当社のサービスを説明する際、
またその他の合法的な目的のために、利用者の
統計情報を開示します。
3)上記で挙げた利用目的に必要な限りにおいて、
当社と機密保持契約を結んだ業務委託先または
業務提携先(システム会社、配送会社など)に
対し開示を行う場合
4)以下は略
------------------
と、言うわけで情報提供にあたってこのポリシーに同意するようになってれば、第3者に預託することは問題ないでしょう。
後は
・情報提供にあたりポリシーに同意するよう手続きが踏まれているか
・ネクストとNTTデータの契約がどうなってるか
の、問題かと思います。
KyaTanaka
Re:うぁ、最低っぽい。>キミが? (スコア:0)
いつも思うのだが、「ノーパソ」が「ノーパン」に見えて仕方がない。
そこで新商売。
エロっぽいイラストとともに「ノーパソ喫茶」とか「ノーパソしゃぶしゃぶ」とか書いた看板を掲げ、高い料金でスケベな客を呼ぶ。
テーブルの上にはノートPC
Re:うぁ、最低っぽい。>キミが? (スコア:1)
# 業務内容は想像がつかんが、インターネットでないことは確かだ。
-- 哀れな日本人専用(sorry Japanese only) --
Re:うぁ、最低っぽい。>キミが? (スコア:0)
違いといったら、デスクトップとノートパソコンの違いですかかね。
Re:うぁ、最低っぽい。>キミが? (スコア:0)
すなわちインターネットカフェ等の料金よりも桁違いに高く設定できるのだよ。
サイドメニューとして、怒った客がPCを壊したら怖いお兄さんが出てきて「あのなぁ、このパソコン、ごっつ高いねん・・」とすごんで100万くらいむしり取るってのも可。
Re:うぁ、最低っぽい。>キミが? (スコア:1, 興味深い)
で、なくなった物が“借り物”だったと。
借りた側の明らかな不注意のケースとは事情が異なるような今回のケース。
どこまで責任を問えるのだろうか?
ゼロにはならないだろうが、難しいぞ。
Re:うぁ、最低っぽい。>キミが? (スコア:2, 参考になる)
> どこまで責任を問えるのだろうか?
> ゼロにはならないだろうが、難しいぞ。
そんなに難しくはないんですよ。 善管注意義務 [google.co.jp]が問題になるケースで、NTTデータのサービスの利用者はNTTデータが適正に個人情報を管理することを信じて情報を提供したわけで、NTTデータには下請けの管理を行う義務が存在します。従ってNTTデータと利用者(被害者)との関係ではNTTデータの善管注意義務違反があるので、利用者はNTTデータの責任を問うことが出来ます。
法的な根拠としては民法の ですね。
まとめると、 の間で損害賠償を請求できることになります。
Re:うぁ、最低っぽい。>キミが? (スコア:2, 興味深い)
ことを明示)しているのなら,委託先にも社内の保護手続きと同レベル
の運用体制があることを監査する責任はあると思うぞ.
委託先が勝手にコピーしたのは問題だが,情報セキュリティマネジメント
の観点から言えば「それができないように対策する」のが当然でしょう.
みんつ
Re:うぁ、最低っぽい。>キミが? (スコア:0)
#452981> 委託先である株式会社ネクストの社員の仕業ですが何か?
#452981> 委託先のセキュリティ管理は委託先に依存しますが何か?
#45298
Re:うぁ、最低っぽい。>キミが? (スコア:1)
そですね、許可とは何処にも書いてませんでした。
すみません。
s/許可/容認(または黙認)/と読み換えてください。
Re:うぁ、最低っぽい。>キミが? (スコア:0)
それは何の指摘にもならない。
そもそも (スコア:1, すばらしい洞察)
Re:そもそも (スコア:0)
他の仕事の契約っていうエサをぶら下げられて
基本設計からやらせられる結果になっちゃうなぁ。
実際のデータ社員は無能とスーパーマンの二極化状態。
下請けはただの開発マシーン。
俺はイヤなんだけど営業が勝手に受注しちゃうから。
# 気楽な下請け社員なのでAC
Re:そもそも (スコア:0)
#こないだ下請けが請負金額漏らしちゃって、
#客がすごい勢いで怒ってる現場に居合わせたのでAC
あなたの投票 (3) を受け付けました. (スコア:1)
#昔の同社は好きなのでID
顧客情報を下請けに管理させる危険性 (スコア:1, 参考になる)
失格かと思っています。
企業は、突き詰めていけば、企業と顧客の関係が残りますよね。
顧客なくして企業は成り立ちません。
極端な話をすると、生産、開発、あるいは売るものを直接持って
いなくても、顧客さえいれば何とかなるもの。
#企業ではなく、しかも違法行為だが、もっとも究極な例は
#架空請求詐欺。顧客さえいれば儲かる典型例。
同じNTT系列でも、NTTコムなどはOCNユーザの管理業務の
一部を中国の企業に委託するなど、行くところまで行ってしまったと
思えてしまいます。
コスト削減のために顧客情報管理を下請けに出すということは、
いわば自分の心臓を外付けの人工心臓にしてしまうようなもの。
たとえ管理コストが高くても顧客情報は自社内で管理すべきかと。
このノートパソコンを拾ったら (スコア:1)
ネットオークションでこっそり処分か…。
#中のデータはなにがしか暗号化されてるだろうし。
#自分のものにして、自宅で使うかな。
やっぱ届け出て欲しいっすね。
もっともっと (スコア:0)
4782人分ですよね。
Re:もっともっと (スコア:1)
ネクストが自社サービスのためにNTTデータが持つ個人情報を盗んだことが一番の問題なんだよね
ネクストのサイト [homes.co.jp]見てても、自社のサイトから流出した分のお詫び [homes.co.jp]はあったけれど個人情報を盗んだことに対するお詫びは見あたらない
Re:もっともっと (スコア:0)
NTTデータに管理責任のある分はあくまで4312人分で、
4312件? (スコア:0)
ただの偶然か。
Re:4312件? (スコア:1)
ただの偶然か。
-- 哀れな日本人専用(sorry Japanese only) --