ルールに従うのはホント難しい（351号）

今回も、NTT西日本のグループ会社で発覚した大量かつ長期間の情報漏洩インシデントについてお話です。

前々回は10年間も漏洩がバレなかったことについてお話をしました。
前回はそれを踏まえて、事件が起きないための予防策についてお話しました。

実は、今回の事件では、発覚より前（2022年）に外部から「漏洩ではないか？」という指摘がありました。
ここで、マジメに調べていれば事件に気づいた可能性は十分にあったのですが、そのチャンスをみすみす見逃してしまいました。

今回は、このケースについてのお話をします。


1. 事件の概要（おさらい）

※ この章は前回と同じ内容です。

この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX（以降ProCX社と書きます）と、NTTビジネスソリューションズ（以降BS社と書きます）という二社で発生した情報漏洩事件です。

この二社は共同していろいろな会社のコールセンター業務を請け負っています。
コールセンター業務には、お客さんからの製品の質問や苦情の電話を受けるもの（インバウンドコール）やお客さんへの商品紹介や支払いの督促の連絡を行うもの（アウトバウンドコール）があります。

こういったコールセンターの運営には独特のノウハウが要りますので、コールセンターのプロとして、他社のお客様窓口業務を請け負う会社は必要とされています。
実際、ProCX社は70社近くのコールセンター業務を請け負っているそうです。

この二社はProCXが業務委託元（約70社）との契約や各コールセンター（電話オペレータ）の管理を行い、BS社はコールセンターシステムの開発と保守を行うという役割分担になっていました。

今回の事件はBS社で情報管理サーバの保守を担当している技術者（以降、Xと記載します）が、管理者IDをを悪用して、顧客である各社から預っている顧客情報を盗んでは名簿屋などに売却していたというものです。

情報の横流しは一度や二度ではなく、2013年から2023年の10年間にわたって、合計で900万件を超えるデータを窃取していたとのことですから、大きなニュースになったのです。

この事件には総務省からも再発防止を求める行政指導が行われ、それに従いNTT西日本から2024年2月29日に「調査報告書」が公開されました。「X」という呼称はこの調査報告書に合わせたものです。

今回の記事はその報告書をベースに作成しています。

なお、Xは1月末時点で警察に逮捕されており、容疑を認めているとのことです。


2. 2022年の指摘とその経緯

さて、冒頭に書きましたように、今回の事件では、2022年時点で、お客様であるコールセンター業務の依託元から情報漏洩に関する問い合わせがありました。

この会社（調査報告書ではA社となっていますので、ここでもA社としますが、どうやら山田養蜂場だったようです）

曰く、「ウチの顧客リストが漏洩しているようなのだが、オタクでも調べてもらえないか？」という依頼が来たのです。

しかも担当者からメールや書面での依頼という形ではなく、A社の取締役が打合せの場を設けて秘密裡に調査をして欲しいという依頼が来たのです。

この時点ではProCX社もBS社も内部犯行による漏洩は露ほども思っていませんでしたので漏洩などとんでもないという前提で調査を行い、実際に漏洩の事実は確認できないという回答をしてしまいました。

調査報告書では、この経緯についても非常に詳しく述べられています。


3. A社の対応が素晴らしすぎる

この指摘を受けてのProCX社とBS社の対応については、後述します。

ここでは、A社の対応のスゴさについてお話をしておきます。

A社のコールセンターに４件の苦情電話があったそうです。
曰く「知らない貴金属業者から営業電話があった。そちらから洩れていないか？」というものだったようです。

４件の同様の連絡が来たことで事態を重く見たA社は、情報漏洩を疑い撤底した調査を行ったようです。

調査報告書でこれを読んだ時に驚きました。
筆者はコールセンター業務については全くの素人ですが、コールセンターかかってくる電話には勘違いや思い込みによる苦情など、A社に何の非もないものも多数あるはずです。

にも関わらず、わずか４件の電話から情報漏洩の調査が開始できる体制を確立させているのです。これはすごいことです。

また、調査も通り一遍の形式調査ではなく本気の調査を行っていました。

その結果、他からの漏洩が全く見つけられなかったことから、漏洩元はコールセンターのデータベースではないか、と当たりを付けていたようです。

A社としては、漏洩元がProCX社だろうと半ば確信した上で調査依頼を行ったのでしょう。
想像に過ぎませんが、A社の取締役がわざわざ訪問したのはその意図を伝えるためだったのかもしれません。


4. 対するProCX社の対応がダメすぎる

一方のProCX社側の認識は実にお粗末なものでした。

経営者センスがあれば、上記の事情は思い付きそうなものですが、どうもProCX社もBS社も違っていたようです。

ProCX社は営業担当者的な視点で「これがこじれて契約を切られてはたまったものではない」と考え、BS社はそれに応えるべく、システム上で漏洩していない証拠を一生懸命に探します。

こういった情報漏洩の問い合わせがあれば、情報漏洩の有無に関わらず、事件（インシデント）として扱わなければなりません。
事件となれば、客観的な調査が大切ですので、決められた手順通りに淡々と調査を進めないといけません。
これは組織統制という視点から必要です。

担当した部署や担当者による調査では、都合の悪いことが隠されたり無視されたりと、客観的と言えない行動に結びつきやすいからです。

さて、NTT西日本の内部ルールではインシデント発生時の手順が定められていたはずです。通常は親会社や上層部への報告（エスカレーション）が求めらますので、おそらくProCX社とBS社のルールもそうだったことでしょう。
ですが、A社から「秘密裡に調査を」と言われたことをいいことに、正式なエスカレーションを行われませんでした。
また、BS社ではシステム開発や運用業務を行っていますので、技術に明るい人も（今回の容疑者であるXもその一人です）いたのですが、そういったメンバを巻き込まずにイマイチ技術に明るくない課長以上のメンバだけで調査が行われます。

その結果、手痛いミスをしてしまいます。
ログの調査担当をした課長がログの意図を読み違え、本来なら不適切なデータ閲覧が多数行われていたログが残っていたのに、それを見落としたのです。

間違った解釈を元にA社への返信を作るわけですが、この中でも実に不誠実な回答が行われています。

例えば、メンテナンス用パソコンはUSBがない前提だったのに、実際はUSBが付いていました。ところが、A社への報告ではUSBのないパソコンを利用していると報告をしています。

ウソというのは一度つくと次々と連鎖的にウソをつくことになると言いますが、まさにそんな対応となってしまっています。


5. ルールは改訂するもの

上述の、ProCX社とBS社の問題はルールの形骸化にあります。
もっと言えば「ルールは破ってもかまわない」という企業文化があったのかもしれません。

ですが、「ルールは破っていいもの」ではないのです。
破りたくなるルールも守れというのではありません。
改訂すりゃいいんです。

ルールは生き物です。
世の中の変化や業務の変化に合わせて変えていかなければなりません。

とはいえ、一度決まったルールの変更というのは大変です。
ルール改訂には労力がかかりますから、「ルール上はこうなってるけど、これは無視しても大丈夫」といった暗黙のルールが巾をきかせる場合があります。

でも、これは悪魔のささやきです。
人によってルールの解釈が異なる状態は組織ではありません。
ただ、人が寄せ集っただけの集団です。

ルールを適切な状態に維持することはコストがかかります。
それでも、組織が組織であるためには、そのコストをかける必要があるのです。

「ルールは人を縛るもの」という考えは寂しいと思います。
「ルールは人を守るもの」「ルールは改訂してより良くするもの」だと筆者は思うのです。


6. まとめ

「1つの大事故の背後には30の小さな事故があり、さらにその背後には300のヒヤっとした体験がある」という言葉があります。
これは、ハインリッヒの法則と呼ばれる経験則です。

NTT西日本の情報漏洩事件でも、その背後に小さな事件（インシデント）がありました。
今回は、その事件について書きましたが、こういった徴候は他にもたくさんあったはずです。それを全て見落としたり、見過ごしたりした結果が今回の事件なのでしょう。

組織には、必ずルールがあります。
ルールは当然守るべきものですが、時には陳腐化したり、時代に合わなくなったりしてきます。
今回の事件ではルールを無視したり、ルール認識が甘いといったケースが散見されますが、ルールには定期的な見直しが必要です。

最近まで知らなかったのですが、JIS（日本産業規格／旧日本工業規格）では全ての文書について定期的（数年に一回）のチェックを行っているそうです。
規格そのものに変更がなくても、その規格が参照している他の規格に変更がないか？その変更による影響はないのか？といったことをチェックしているそうです。

こういった発想はルールの改版でも大いに役立ちます。
変更しなくても良いと思っていたが、実は社内ルールが変わっていた、部署名が変わっていたなどというのはよくあることです。

ルールを無視したり、勝手な解釈をするのではなく、ルールの見直しが定期的に行われる組織でありたいものです。

今回はNTT西の情報漏洩事件の調査報告書をベースとして、ルールを守ることについて筆者の考えをお話しました。

次回もお楽しみに。

（本稿は 2024年3月に作成しました）