■発覚のきっかけ
委託先企業「UFジャパン」が、他社の通信サービスへの勧誘に個人情報を不正利用している可能性があるとの指摘を受け、調査を実施。その結果、深刻な情報漏えいが明らかとなった。

・元従業員がUSBメモリを使って13万5022件の顧客情報を持ち出した可能性が高い。

■調査により判明した問題点
・業務委託先であるUFジャパンの内部管理体制の不備が次々に明るみに。
・セキュリティ監査の報告内容に虚偽の可能性。ソフトバンクも見抜けず。
・事業所内での個人情報管理がずさんで、管理ルールが形骸化していた。
・UFジャパンがソフトバンクの許可を得ずに第三者協力会社に作業を再委託。
・すでに退職していた元従業員が事業所に不正侵入したが誰にも止められず。
・その元従業員が顧客情報をUSBに保存し外部に持ち出した疑い。
・監視カメラにより元従業員であることを確認。

■さらに同じ協力会社内で別件の漏えい事故も
・別の従業員が、顧客情報を含むファイルをクラウドにアップロード。
・同社業務と無関係な従業員3人がデータを閲覧可能な状態になっていた。
・流出件数：2134件（個人顧客対象）。

■漏えいした情報の内容
・顧客の氏名、住所、電話番号、生年月日、性別、年齢、契約内容、利用履歴、社内顧客管理番号など
・単体では個人特定が難しいが、管理番号のみ16万1132件流出の可能性も判明。

■ソフトバンクの対応状況
・UFジャパンで使用されていたすべてのPCにフォレンジック調査を実施。
・関係者への聞き取りや警察への相談も進行中。

■委託先として私たちが自覚すべきこと
・この事案を受けて、以下のような課題が委託先として浮き彫りになりました：
・「名ばかりのセキュリティ監査」は通用しなくなる。形式的な報告はリスクを増大させる。
・委託元は法的に最終責任を負う（法改正により明確化）が、委託先も責任を直接負うため、個人情報保護の意識を持ち、実効性あるセキュリティ対策をとる必要がある。
・元従業員の入退室管理や端末持ち出し制限が機能していたか、点検・再検討すべき。
・今後、委託元による監査の厳格化や業務負担の増加が見込まれる。

■まとめ
本件は「委託元に監査報告だけだせば大丈夫」とは言えない時代になった。
自分たちが委託先の立場でも、個人情報を扱う責任とリスクは委託元と変わりません。
自社の情報管理体制、監査対応、入退室・持ち出し管理、従業者教育の仕組と効果をあらためて点検し、実効性のある保護機能を運用していることが求められています。