無料で診断
無料で診断
ナレッジ事例整理

NTT西日本の個人情報流出とは?元派遣社員の持ち出し・影響範囲・再発防止を整理

NTT西日本の個人情報流出を検索している人の多くは、「ハッキングだったのか、元派遣社員の持ち出しだったのか、約120万件と約928万件はどう違うのか、総務省や個人情報保護委員会は何を問題視したのか」を短時間で整理したいはずです。ところが公式資料は、2023年10月17日の初報、2024年1月24日の個人情報保護委員会対応、2月9日の総務省指導、2月29日のグループ報告書に分かれており、流出規模、委託経路、調査不備、再発防止が別々に見えます。この記事では、NTT西日本と個人情報保護委員会の一次資料を軸に、元派遣社員による持ち出しで何が起き、NTT西日本の約120万件とグループ全体の約928万件の関係をどう読むべきか、再発防止策まで含めて整理します。外部ハッキング事例としては扱わず、委託先管理と内部不正の事案として読むためのページです。

公開日 2026年3月20日
1

NTT西日本の初報は 2023年10月17日で、過去のテレマーケティング業務に関する顧客情報約120万件の流出疑いを公表しています。

2

2024年2月29日のグループ報告書では、ProCX と NTTビジネスソリューションズを含む全体像として、約928万件、69クライアント分の情報持ち出しが整理されています。NTT西日本単独の約120万件とは同じではありません。

3

個人情報保護委員会と総務省は、一人の元派遣社員の問題だけでなく、長期の見逃し、委託先監督、調査不備、組織的統制の弱さを問題視しています。

無料でASM診断を開始

この記事のポイント

  1. NTT西日本の初報は 2023年10月17日で、過去のテレマーケティング業務に関する顧客情報約120万件の流出疑いを公表しています。
  2. 2024年2月29日のグループ報告書では、ProCX と NTTビジネスソリューションズを含む全体像として、約928万件、69クライアント分の情報持ち出しが整理されています。NTT西日本単独の約120万件とは同じではありません。
  3. 個人情報保護委員会と総務省は、一人の元派遣社員の問題だけでなく、長期の見逃し、委託先監督、調査不備、組織的統制の弱さを問題視しています。

まず無料で確認する

無料でASM診断を開始

NTT西日本 個人情報流出で触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。

無料でASM診断を開始

NTT西日本の個人情報流出で何が起きたのか

左側の委託境界から中央のコールセンター基盤へ情報が集まり、右側へ複数の顧客領域が波及する様子を示す抽象図

この事案は、NTT西日本単独の漏えいとして短く読むより、委託・再委託されたコールセンター基盤で起きた内部不正が、複数の委託元へ広がった事案として読む方が全体像をつかみやすくなります。

まず分けて読むべきなのは「NTT西日本の約120万件」と「グループ報告書の約928万件」です

NTT西日本の事案で最初に混同しやすいのは、2023年10月17日の NTT西日本初報に出てくる約120万件と、2024年2月29日のグループ報告書に出てくる約928万件・69クライアントが同じ数字ではないことです。2023年10月17日の初報では、NTT西日本が過去に委託していたテレマーケティング業務に関する顧客情報約120万件を主語にしています。一方、2024年2月29日のグループ資料は、ProCX と NTTビジネスソリューションズを含む全体像として約928万件・69クライアントを整理しています。

したがって、この記事でもNTT西日本自身が初報で公表した範囲グループ報告書で判明した全体像を分けて扱います。この線引きを曖昧にすると、「NTT西日本だけで 928万件だった」と読み違えるか、逆に「約120万件しか関係なかった」と過小に読むかのどちらかになりやすいです。

主役は外部ハッキングではなく、元派遣社員による内部不正と委託先監督です

NTT西日本の公式資料と個人情報保護委員会の議事概要を並べると、この事案の主役は外部からの侵入ではありません。コールセンターシステムの運用保守業務に従事していた元派遣社員が、システム管理者アカウントを悪用して顧客データを不正に持ち出したことが中心です。ここはLINEヤフーの情報漏えいIIJ の情報漏えいのような不正アクセス事案とは、読み方が違います。

さらに、2024年1月24日の個人情報保護委員会議事概要では、長期にわたり組織内の不正を見逃したこと、一昨年に是正する契機があったにもかかわらず活かせなかったこと、人的要因だけではなく安全管理体制の組織的要因を検証することが重要と明示されています。読者が押さえるべき論点は、内部不正そのものと、そこに至る委託先監督・調査体制・管理体制です。

時系列で見ると、何が順番に分かったのか

この事案は、2023年10月17日の初報だけで終わりません。初報の前段にある 2023年7月13日の調査依頼、2024年1月24日の個人情報保護委員会対応、2月9日の総務省指導、2月29日のグループ報告書まで追うと、内部不正の発生だけでなく、調査の失敗と統制の立て直しまで見えます。

12013-07 〜 2023-02頃

元派遣社員による不正持ち出しが約10年続いていたと後に整理された

2024年2月29日の NTT西日本グループ資料では、NTTビジネスソリューションズに派遣されていた元派遣社員が、システム管理者アカウントを悪用し、約10年にわたり顧客データを不正に持ち出していたと整理されています。後追いで全体像が判明した事案です。

背景: 長期継続の内部不正
22023-07-13

委託元の一社から調査依頼が入るが、当時の調査は不適切だった

2024年2月29日の資料では、クライアント企業の一社から情報流出の可能性に関する調査依頼を受けたあと、ProCX と NTTビジネスソリューションズが調査を実施したものの、当時の調査は虚偽回答やログ誤読を含む不適切なものだったと整理されています。

転機: 調査依頼と失敗した初動
32023-10-17

NTT西日本が初報を出し、約120万件の流出疑いを公表

NTT西日本は 2023年10月17日、過去のアウトバウンドテレマーケティング業務に関する顧客情報約120万件について、元派遣社員による不正持ち出しと第三者流出を公表しました。この時点では対象顧客の特定調査中と説明しています。

初報: 約120万件を公表
42024-01-24

個人情報保護委員会が ProCX と NTTビジネスソリューションズへの勧告・指導を決定

個人情報保護委員会の議事概要では、長期にわたり組織内の不正を見逃したこと、是正の契機を活かせなかったこと、一人の従業者の問題ではなく組織的要因の検証が重要であることが指摘されています。

行政対応: 組織要因を指摘
52024-02-09

総務省が NTT西日本へ委託先監督の指導を実施

NTT西日本は 2024年2月9日、総務省から委託先の適切な監督について指導を受けたと公表しました。問題は外部侵入ではなく、委託・再委託と監督の弱さを含むガバナンス事故として位置づけられています。

監督: 総務省指導
62024-02-29

グループ報告書で全体像と再発防止策を公表

2月29日の NTT西日本グループ資料では、元派遣社員が約928万件、69クライアント分の顧客データを不正に持ち出していたこと、VDI 環境、リアルタイム監視、監査、委託先管理強化などの再発防止策を進めることが示されました。

総括: 全体像と改善策

2023年7月の調査依頼があっても、当時は問題を把握できませんでした

2024年2月29日のグループ資料が重要なのは、2023年7月13日にクライアント企業の一社から調査依頼を受けたにもかかわらず、当時の調査では問題がないと報告していた点を明らかにしていることです。同資料では、エクスポートログの改変、虚偽回答、ログ誤読、適切なエスカレーションの欠如が過去調査の問題として挙げられています。

つまり、この事案は「内部不正があった」だけでなく、一度は把握できる可能性がありながら、調査と報告の段階で見逃したことにも特徴があります。個人情報保護委員会が組織的要因を強く指摘した背景はここにあります。

2024年初頭は、会社説明と行政対応が連続した時期でした

2024年1月24日に個人情報保護委員会が ProCX と NTTビジネスソリューションズに勧告・指導を決め、2月9日にはNTT西日本が総務省から委託先監督の指導を受けたと公表しています。この流れから分かるのは、問題がコールセンター運営会社側だけで完結せず、委託元である NTT西日本の監督責任まで含めて見られていたことです。

そのうえで 2月29日には、外部専門家を交えた社内調査委員会の結果と、NTT西日本グループ全体の情報セキュリティ強化策が公表されました。時系列で追うと、初報、行政対応、グループ全体の立て直しという順で論点が広がっていったことが分かります。

どの情報がどの経路で外へ出たのか

論点公式資料で確認できること読み方のポイント
NTT西日本の初報範囲約120万件。2014年4月から2022年3月のテレマーケティング業務に関する顧客情報NTT西日本自身が最初に対外公表した範囲です。
グループ報告書の全体像約928万件、69クライアント分。2013年7月から2023年2月頃までの不正持ち出しProCX と NTTビジネスソリューションズを含む全体像で、NTT西日本単独の件数ではありません。
流出した情報の種類氏名、住所、電話番号、生年月日、メールアドレス、サービス種別、回線ID等決済関連情報や各種パスワードは含まれないと公式資料で説明されています。
発生経路ProCX が利用するコールセンターシステムを、NTTビジネスソリューションズの元派遣社員が運用保守の立場で悪用外部侵入ではなく、委託・再委託構造の中で生じた内部不正です。
顧客への連絡対象と特定した顧客へ順次ダイレクトメールで連絡初報時点では対象特定が継続中で、後続公表で通知方法が明確化されました。

委託経路は「NTT西日本、ProCX、コールセンター基盤、NTTビジネスソリューションズの元派遣社員」という順で読むと整理しやすくなります

NTT西日本の 2024年1月26日公表では、テレマーケティング業務を委託していたNTTマーケティングアクトProCXが利用するコールセンターシステムを提供するNTTビジネスソリューションズにおいて、その運用保守業務従事者であった元派遣社員が顧客情報を不正に持ち出していたと説明しています。したがって、単純な委託先一社の事故ではなく、委託とシステム提供、運用保守が分かれた構造の中で起きた事案です。

この経路を正しく読むと、業務委託先のセキュリティ管理でよく問題になる「誰が実際に触っていたのか」「どこで監督が切れていたのか」という論点が、そのまま当てはまります。NTT西日本事案では、委託元の管理、委託先の統制、運用保守者の権限、調査時の報告体制が一つにつながっていました。

約120万件と約928万件を混ぜると、影響範囲の理解を誤ります

初報の約120万件は NTT西日本の過去のテレマーケティング業務に関する顧客情報です。一方、2月29日のグループ資料にある約928万件は、複数の委託元企業・団体を含めた全体像です。記事を書く側も読む側も、NTT西日本の対外説明範囲後に判明したグループ全体の被影響規模を区別しないと、対象範囲を正しく把握できません。

また、初報では対象顧客の特定調査中とされており、2024年1月26日公表では順次ダイレクトメールで連絡すると説明されています。したがって、読者が知りたいのは「数字の大きさ」だけでなく、自社が初報の約120万件に入るのか、後続の全体像の中でどこに位置づくのかという整理です。

この事案の読み方と再発防止で押さえるべき点

一人の元派遣社員だけの問題にせず、長期見逃しと調査不備を一体で読む

個人情報保護委員会が、人的要因だけでなく組織的要因の検証が重要だと明示しているためです。

NTT西日本の約120万件と、グループ全体の約928万件を分けて読む

同じ事案でも、対外説明の段階と全体像の段階で数字の意味が違うためです。

委託先監督と再委託構造を主題に置く

総務省が NTT西日本に対して委託先の適切な監督を指導したことからも、監督責任が主論点だからです。

調査失敗の再発防止として、ログ分析、監視、エスカレーションを重視する

2月29日のグループ資料では、ログ誤読や虚偽回答、エスカレーション欠如が問題として整理されているためです。

再発防止策は VDI、リアルタイム監視、監査、委託先管理をまとめて見る

単一施策ではなく、権限制御、監視、監査、組織体制強化が一体で進められているためです。

関連: EDR未導入のリスク

個人情報保護委員会と総務省は、どちらも「監督」と「組織要因」を見ています

2024年1月24日の個人情報保護委員会議事概要では、長期にわたり不正を見逃したこと、是正の契機を活かせなかったこと、組織的要因の検証が重要であることが強調されています。また 2月9日の総務省指導は、委託先の適切な監督を NTT西日本に対して求めています。つまり、規制当局が見ているのは「元派遣社員が悪かった」で終わる話ではなく、委託元も含めて統制がどう崩れていたかです。

その意味では、この事案は尼崎市の USB 紛失事故と同じく、委託や外部人材に依存する業務で「誰が実際にデータへ触れ、誰がそれを監督していたか」が主題になります。ただし NTT西日本事案は、媒体紛失ではなくシステム管理者権限の悪用と長期見逃しが中心です。

2月29日の再発防止策は、権限制御と監視強化を同時に進めています

2月29日のグループ資料では、NTT西日本グループ全体として、操作端末でのデータのダウンロード・保存を不可とするVDI 環境の運用開始、非公開システムへのリアルタイム監視と相関ログ分析の拡大、第3線監査の実施、セキュリティ・アドバイザリーボードや委員会の開催が並んでいます。さらに ProCX 側では EDR と UEBA の導入進捗、コールセンター全業務への点検が示されています。

ここから読み取れるのは、内部不正対策を、権限・持ち出し制御だけでなく、監視・監査・組織運営まで含めて立て直そうとしていることです。事案後の説明整理や公開面の統制を文書化するなら、セキュリティレポート雛形も合わせて見ると、どの論点を外に説明すべきか整理しやすくなります。

事案後の公開導線棚卸しなら ASM診断 PRO

ASM診断 PRO のホーム画面スクリーンショット

ASM診断 PRO 公式サイト

ASM診断 PRO は、NTT西日本の内部不正そのものを防ぐ製品ではありません。ただし、事案後に外から見える公開面を棚卸しするとき、問い合わせ窓口、特設案内、委託先向け説明ページ、古いサブドメイン、閉じたはずの管理導線が残っていないかを外側から整理する入口としては使いやすい構成です。

特にこの事案のように、委託先管理や顧客案内の導線が増える局面では、いま何が公開され、何が残っているかを先に見える化した方が運用整理は進めやすくなります。ASM診断 PRO は内部不正対策そのものの代替策ではなく、公開導線の棚卸しと整理を補助する役割で使うのが自然です。

公開導線の棚卸し

外から見える接続点を無料で確認

特設案内、問い合わせ窓口、古い公開ページやサブドメインがいまどう見えているかを洗い出し、事案後の公開面整理に役立ててください。

無料でASM診断を開始

よくある質問(FAQ)

NTT西日本の事案はハッキングですか?

主役は外部ハッキングではありません。NTTビジネスソリューションズに派遣されていた元派遣社員が、運用保守の立場で顧客データを不正に持ち出した内部不正の事案です。

約120万件と約928万件はどちらが正しいのですか?

どちらも公式資料に基づく数字ですが、意味が違います。約120万件は NTT西日本が初報で公表した自社対象の範囲、約928万件は 2024年2月29日のグループ報告書で整理された全体像です。

流出した情報にパスワードや決済情報は含まれますか?

NTT西日本の公式公表では、氏名、住所、電話番号、生年月日、メールアドレス、サービス種別、回線 ID などが対象で、クレジットカード情報や金融機関口座情報などの決済関連情報、各種パスワードは含まれていないと説明されています。

個人情報保護委員会は何を問題視しましたか?

長期にわたり不正を見逃したこと、一度是正の契機がありながら活かせなかったこと、一人の従業者の問題ではなく安全管理体制の組織的要因を検証する必要があることを指摘しています。

再発防止は何に注目すればよいですか?

2月29日のグループ資料では、VDI による保存制御、リアルタイム監視と相関ログ分析、監査、委託先管理強化、EDR と UEBA の導入、組織体制見直しが並んでいます。単一施策ではなく、持ち出し制御と監視強化を一体で見るのが重要です。

まとめ

中央の顧客データ層を囲むように、監視、統制、監査、委託管理の輪が重なる様子を示す抽象図

この事案は、元派遣社員の不正持ち出しだけでなく、委託先監督、過去調査の失敗、監視と統制の立て直しまで含めて読むと全体像がつかみやすくなります。

NTT西日本の個人情報流出で押さえるべきなのは、2023年10月17日の初報で公表された約120万件と、2024年2月29日のグループ報告書で整理された約928万件・69クライアントという全体像を分けて読むことです。主役は外部侵入ではなく、委託・再委託構造の中で起きた内部不正と、その長期見逃しでした。

また、個人情報保護委員会と総務省はどちらも、元派遣社員個人だけでなく組織的統制と委託先監督を問題視しています。再発防止策も、VDI、監視、監査、委託先管理強化をまとめて進める構成です。まずは公式資料の事実関係をこの順番で整理し、そのうえで自社の委託構造や公開導線の見直しに進むのが自然です。

次のアクション

読み終えたら、無料でASM診断を開始

外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。

無料でASM診断を開始

参考にした一次ソース

重要論点の根拠として参照した一次ソースだけを掲載しています。