NTT西子会社の情報流出、グループ全体で取り組む防止策の内容は

　2023年10月に明らかになった、NTT西日本の子会社であるNTTマーケティングアクトProCXによる情報流出。NTTビジネスソリューションズのコールセンターシステムの関係者が、顧客情報を不正に持ち出し第三者に流出させていた。流出した顧客情報の件数は、約120万件にのぼった。

　NTT（持株）が8日に開催した説明会には、NTTグループCISO（Chief Information Security Officer）の横浜信一氏と、NTTセキュリティ＆トラスト室長の木村正人氏が登壇し、NTTグループ全体で取り組む再発防止策を紹介した。

左：横浜氏、右：木村氏

　NTTグループでは、再発防止策として、「緊急対策」「本格対策」の2ステップで進めている。

　このうち緊急対策については、「ルールはあったが守られていなかった」という実態を受け、内部不正による情報漏えいに関わる25項目の順守状況を確認。不備が発見された部分については、2023年内に対策をほぼ完了した。

　本格対策としては、NTT（持株）から一律の指示を出すのではなく、グループ各社の社長の責任のもと、各社が取り扱う情報や業態などを踏まえた対策が組まれている。

　この理由として、先述の情報漏えいの原因が内部不正であり、IT・セキュリティだけでなく労務や法務、内部監査など、複合的な要因が絡み合ったものであることが挙げられる。

　各社が考慮すべき点はNTT（持株）から指示されており、各社ごとに重要情報の漏えい対策を推進していく。必要な支出や投資は、2024年度の事業計画に盛り込まれている。また、国内の会社にとどまらず、海外の事業者でも同様の取組みが進められる。

　対策の予算規模は、今後3～4年間の総計で、グループ全体で300億円程度。

　300億円の内訳として、その半分はシステムの集約や一元管理を見据えた支出となる。もう半分は、各社員やシステム管理者が使うソフトウェアのライセンスフィーなどが積み上がったものになるという。

　NTTでは、性善説ではなく性悪説や性弱説に基づき、内部不正に伴う情報漏えい対策を実施する。情報セキュリティの技術的な対策だけでなく、人材育成や配置、受託契約時のリスク判断、内部監査の強化など、経営全般を網羅していく。

　対策には経営陣も積極的に関与し、進捗などは経営会議で定期的に報告される。NTT（持株）は直接帰属会社を支援する。リソースが小さい直接帰属会社に対しては、リソースの提供も実施するという。

　具体的な対策の例として、USBメモリーの禁止や重要情報の暗号化のほか、EDR（Endpoint Detection and Response）導入や監視カメラの設置が挙げられている。また、NTTの大規模言語モデル（LLM）である「tsuzumi」の活用なども検討される。