(2024.2.2)
自治体などの900万件を超える個人情報(住所、氏名、年齢、電話番号、クレジットカード情報など)を、複数の名簿業者に売却し、2000万円以上を受け取っていた疑いのある者が逮捕されました。
その経緯など(抜粋要約、時系列)はつぎのとおりです。
○NTT西系元社員、個人情報900万件流出。名簿業者に渡る(令和5年10月17日)日本経済新聞
NTT西日本子会社のNTTマーケティングアクトProCXは、顧客から受託したコールセンター業務に関する個人情報約900万件が外部に流出したと発表した。
流出したのは住所、氏名、電話番号などで、クレジットカード情報も81件あった。
一部は名簿業者に渡っており、警察が不正競争防止法違反容疑で捜査を始めた。
○NTT西子会社の元派遣社員「名簿業者に渡した」900万件流出(令和5年10月17日)朝日新聞
元派遣社員は、名簿業者に情報を渡したと説明。警察が不正競争防止法違反容疑で捜査中という。
不正流出は、2013年7月ごろから今年1月ごろにかけて起きていたことが確認された。
約10年にわたって大規模な情報流出を見逃していたことになる。
両子会社は、不正利用による被害は今のところ確認されていないが、商品やサービスの勧誘電話がかかってきたことは確認したとしている。
○第212回国会 衆議院 総務委員会(令和5年12月7日)
▽委員
今日は、NTT西日本の子会社2社から900万件の個人情報が流出した問題を取り上げたいと思います。
配付資料を見ていただきたい。朝日、10月18日付の記事であります。
NTTマーケティングアクトProCXがコールセンター業務を請け負った企業や自治体など、59の顧客が持つ個人情報が2013年7月頃から今年1月頃にかけて約10年間にわたって流出していって、気づかず見逃していたという事件であります。流出させた元派遣社員は名簿業者に情報を渡したと説明していると報じられております。
▽政府参考人
株式会社NTTマーケティングアクトProCXへコールセンター業務を委託し、不正に個人情報が持ち出された又は持ち出された可能性があるということで公表されている団体がございますので、その数は33団体ということは把握してございます。
▽委員
この記事を見れば、福岡県の自動車税関連の個人情報が最大14万人分流出した、大阪府河内長野市では市税納付が遅れていた人の個人情報が最大4400件漏れたおそれがある、同じく岸和田市ではメタボ健診の未受診者約1万5000人分の個人情報が流出、東京都足立区でも最大7000人分の個人情報が流出したとされております。
自治体の保有するこれら住民の個人情報が流出したことについて大臣はどう受け止めておられますか。
▽国務大臣
こうした違法行為によりまして住民の個人情報の漏えいが発生したことについては極めて遺憾でございます。
自治体業務が複雑化、高度化する中で、住民サービスを向上させる観点からも、住民の個人情報を扱う業務についても委託が行われているものと承知いたしております。
総務省では、地方公共団体の情報セキュリティーに関して、地方公共団体の情報セキュリティーポリシーに関するガイドラインを示して、業務委託の際の契約項目に業務上知り得た情報の守秘義務を明記し規定するなど、必要な対策を求めてまいりました。
引き続き、地方公共団体が個人情報を扱う業務を委託する際に情報セキュリティー対策の徹底を図れますように取り組んでまいりたいと思います。
▽委員
33自治体で実は情報流出しているという御答弁でございました。自治行政局長にその自治体名を全て答えていただけますか。
▽政府参考人
公表している自治体として総務省が把握しているところでございますけれども、県では三重県、福岡県、沖縄県。市町では千葉市、町田市、足立区、射水市、黒部市、砺波市、氷見市、上市町、立山町、加賀市、能美市、鯖江市、福井市、浜松市、富士市、焼津市、稲沢市、小牧市、瀬戸市、豊橋市、半田市、みよし市、津市、河内長野市、岸和田市、堺市、豊中市、松原市、橿原市、鳴門市。以上でございます。
▽委員
そのとおりですね。この33自治体は全て一応公表されております。個人情報の漏えいの規模の大きさ、事態の深刻さが伝わってきます。
もちろん、この元社員による不正流出は犯罪行為でありますけれども、自治体がその業務を外部委託した、その委託先で住民の個人情報を扱っていた会社の個人情報管理が全くでたらめだったという事案なんですよね。
○(令和6年1月24日)個人情報保護委員会
個人情報取扱事業者の委託先にあたるコールセンターシステムの運用保守業務を担っていた個人情報取扱事業者において、派遣社員が不正に持ち出し、漏えいが発生した事例がありました。
本件では、個人データの不正な持ち出しが2013年から2023年までの間という長期間にわたって反復的に行われており、影響を受けた個人データは、民間事業者30社、独立行政法人1機関及び地方公共団体38団体から委託されたもので、判明しているものだけで約928万人分と多数にのぼっている。
▽約928万人分について
BS社が行った調査により、現時点において、ログ等から不正に持ち出されたことが確認されている個人データ等の本人数であり、その委託元は民間事業者30社、独立行政法人1機関及び地方公共団体38団体とされているが、詳細についてBS社において更に確認中である。
▽事案の重大性について
本件事案は、判明しているだけでも約928万人分と大量の個人データ等が長期にわたり漏えいした事案である。また、Xにより持ち出された大量の個人データ等が名簿業者に売却された可能性が高く、民間事業者30社、独立行政法人1機関及び地方公共団体 38団体の多数の委託元に関わるコールセンター業務で取り扱われた個人データ等に影響があったもので、当該個人データ等の性質として、企業の商品購入履歴があること又は地方公共団体の住民であること等から推測することにより、年齢、性別、利用企業及び行動範囲等で分類し、嗜好性又は経済状況といった特徴を分析され、悪用されることが懸念される。
○NTT西日本子会社元派遣社員逮捕、個人情報流出問題で、岡山県警(令和6年1月31日)NHK
NTT西日本の子会社の元派遣社員が自治体や企業などの900万件を超える個人情報を流出させた問題で、このうち岡山県内の企業の3万人余りの顧客情報を不正に持ち出して名簿業者に漏えいしたとして、63歳の元派遣社員が不正競争防止法違反の疑いで逮捕されました。
元派遣社員は不正に持ち出した個人情報を複数の名簿業者に売却して2000万円以上の金を受け取っていたとみられるということで、警察がいきさつを捜査しています。
顧客情報の一部は、名簿業者から東京都内の貴金属販売業者に売却されていて、NHKの取材に対し、この販売業者の担当者は、名簿業者から住所や氏名、年齢、電話番号などが入った記録媒体を1人分につき5円程度で買っていたと説明しました。
○NTT西子会社から個人情報流出、売却で2000万円利益か…元派遣社員「金がほしかった」(令和6年2月1日)読売新聞
県警などによると、一部は名簿業者を通じて貴金属販売業者に転売され、商品勧誘に使われたという。
捜査関係者によると、男は逮捕前の任意の事情聴取に「金がほしかった」と述べたという。
○NTT西日本子会社情報漏えい、元派遣社員「金に困ってやった」(令和6年2月1日)NHK
NTT西日本の子会社の元派遣社員が、企業の顧客情報を不正に持ち出して名簿業者に漏えいしたとして逮捕された事件で、動機について、「金に困ってやった」などと供述していることが、捜査関係者への取材で分かりました。
最後に。
つぎの国会議事録など(抜粋要約、時系列)があります。
○第183回国会 衆議院 本会議(平成25年3月22日)
▽委員
世代ごとに受益と負担の関係をバランスよくさせるには、突き詰めていくと、個々人の資産を完全に把握する必要があり、将来的には、所得と資産の完全把握を目指すためのシステムを構築するべきだと考えますが、いかがでしょうか。
また、漏えい、不正利用、紛失の多くは内部者の故意によるものやヒューマンエラーによるものであるというこれまでの現実を踏まえて、その対策と責任の所在についてどのようにするつもりなのか。
▽国務大臣
政府が国民の所得や資産をどこまで把握するかは、それに伴う国民の負担等も勘案した上、社会保障制度や税制といったそれぞれの制度の中で検討されていくものと考えております。
番号法は、個人番号を取り扱う機関に対し、その漏えい、不正利用、紛失などを防ぐための安全管理措置を義務づけており、これらの機関やその職員に対し、特定個人情報保護委員会が啓発等を行うことといたしております。
さらに、これらの義務に違反した場合には、特定個人情報保護委員会による指導、助言、勧告、命令の対象となり、また、個人番号を漏えいするなどした職員には刑事罰が科されることとなります。
○第189回国会 衆議院 内閣委員会(平成27年5月13日)
▽参考人
言うまでもありませんが、個人番号にひもづけられる個人情報が多ければ多いほど、また、その個人情報の質が高ければ高いほど、個人番号を悪用しようとする者にとってはその利用価値が高くなります。悪意を持って他人の個人番号を入手しようとする者もふえるはずであります。したがって、個人番号の利用範囲の拡大は慎重な検討の上でなされる必要があろうと思います。
○第189回国会 参議院 内閣委員会(平成27年8月27日)
▽国務大臣
ITの世界やマイナンバー制度の運用の世界に限らず、絶対とか100%とかいうことはあり得ないわけであります。さらに、ヒューマンエラーとか悪意を持った人は必ず出てくるんだろうと思いますし、そういった意識をしっかり持ちながら臨んでいくというふうなことが危機管理としては大変重要であろうと考えております。
○「マイナンバー制度の問題点と解決策」に関する提言(令和5年10月10日)一般社団法人情報システム学会
本提言書で問題点として指摘しているのは、「マイナンバー法に書かれた目的実現のために必要となるマイナンバー制度の制度設計の内容に、根本的な不良があること」である。そして、「その設計不良のままデジタル化を推進してしまうと、目的を実現するのに遠回り(情報システム開発の費用と時間が膨大にかかるなど)だっだり、設計不良が別の大きな社会問題を誘引してしまう」ことである。
言い換えると、制度目的は正しいが、制度の実装方法(情報システムの設計・開発と運用)に不良があることにより、現在の設計のまま推進してしまうと、国民にとって不利益の方が大きくなってしまうという懸念である。
現在のマイナンバー制度では、マイナンバーカードは最高保証レベルの当人確認用の所有物として使用することを前提に設計されている。言い換えると「マイナンバーカード+暗証番号」を使用すれば、様々なことが何でもできるという設計なのである。しかし、裏を返せば「マイナンバーカード+暗証番号」が悪用された時も、何でもできてしまうということでもある。
一方で、マイナンバーカードは身元証明書として常時携行する設計にもなっている。現実世界に例えると、実印を常時携行しなさいという制度設計に近い。その際のセキュリティが4桁暗証番号だけというのは、余りに脆弱であると言わざるを得ない。
当然、マイナンバーカードを常時携行すれば、盗難被害に遭う人が増えてしまう。マイナンバーカードは最高保証レベルの当人確認の所有物であるので、犯罪ターゲットになりやすく、マイナンバーカードを使用して利用できる情報システムが増えれば増えるほど、マイナンバーカードに関わる犯罪が増えることになるだろう。
これは、現在のマイナンバー制度の設計者に、情報システムの運用視点と、ユーザーがどのようにしてマイナンバーカードを使用するかというユーザー視点が欠如していることから発生する問題である。
○マイナンバー情報総点検本部(第5回)議事概要(令和5年12月12日)
▽岸田内閣総理大臣発言
法令に基づき、予定通り、現行の健康保険証の発行を来年秋に終了し、マイナ保険証を基本とする仕組みに移行することといたします。
マイナンバーカードは、デジタル社会における公的基盤です。医療分野においても、マイナ保険証は、患者本人の薬剤や診療のデータに基づくより良い医療、なりすまし防止など、患者・医療現場にとって多くのメリットがあり、さらに、電子処方箋や電子カルテの普及・活用にとっても核となる、我が国の医療DXを進める上での基盤です。
○第212回国会 衆議院 本会議(令和5年12月13日)
▽議員
マイナ保険証は、他人の情報のひもづけや医療情報の漏えい、請求の誤りなど、トラブルが相次いでいます。国民は、このカードを持ち歩き、使用することに大きな不安を感じており、現在の利用率は国民全体のたった5%未満です。こうした状況で、来年秋の健康保険証の廃止方針の撤回、延期を望む声は7割を超えました。しかし、総理は、この声も聞こうとしません。
以上です。