ソフトバンクの業務委託先であるUFジャパンが、個人顧客の個人情報が流出した可能性がある。ずさんなセキュリティ管理体制のもと、虚偽の監査報告が行われていたが内部通報で発覚。

UFジャパンがソフトバンクの許諾なしに協力会社と契約していたため、協力会社を退職した元従業員が、2024年12月にUFジャパンの事業所へ不正に立ち入り、同社の顧客情報をUSBメモリに保存して持ち出した。

UFジャパンが他社通信事業者のサービスの勧誘に不正に顧客情報を利用していると指摘があり、調査したところ問題が発覚した。

携帯電話サービス「ソフトバンク」や「ワイモバイル」を契約している個人顧客が対象で、USBメモリにより13万5022件が持ち出された可能性がある。
当事者である協力会社の元従業員は、情報の持ち出しに関して記憶にないと主張しているが、監視カメラの映像で確認された。

また、別の従業員が顧客情報を含むファイルをクラウドにアップロードし、同社業務とは関係ない従業員3人がデータを閲覧できる状態になっていた。

いずれのケースでも顧客の氏名や住所、電話番号、生年月日、性別、年齢、契約内容、サービスの利用に関する情報、社内の顧客管理番号などが含まれる。

同社では、UFジャパンが業務で使用していたすべてのパソコンに対してフォレンジック調査を実施するとともに、関係者への聞き取り調査、警察への相談などを進めている。

再委託先が参加するほど個人情報保護セキュリティーが甘くなることは周知の事実だが、どのように管理するかバラバラなのがこのような事故を招く。
USBを使用したら警告が出る、個人情報をデータベースにアップロードしたら管理者にログを出す、などセキュリティーの警告が出すことを従業者に事前に知らせておくことは重要だが、従業者が知らない管理者だけに通知される警告も必要である。
対応検討を急いでいただきたい。