Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

何故音声データは改ざんできたのか?

朝日新聞のスクープ記事を読んで、東京電力から依頼を受けた、信頼されるべき上場企業のコールセンター従事者が高齢者を騙す行為をしていた事に衝撃を受けました。

www.asahi.com

東京電力エナジーパートナー」(東電EP)から電話勧誘業務を受託した「りらいあコミュニケーションズ」による音声の編集手法は2パターンある。一つは、契約を得られなかったはずのやり取りなどを削除する改ざんだ。

 オペレーター(以下、オ)「このお電話でご契約成立となります」

 女性「成立ってことになっちゃうんですか?」

 オ「いえいえ、しません」

 女性「ですよね。書類をアレしてでしょ」

 オ「書類が約1週間後に届きまして、それを確認していただいて」

 女性「分かりました」

 実際はこんなやり取りがあった千葉市若葉区の高齢女性との会話は、編集によって最初と最後の発言以外が削られ、「契約成立になります」「分かりました」と契約を了解する形になった。

朝日新聞6/11記事より引用)

 

公式発表(りらいあコミュニケーションズ)

本日の一部報道について(6/11)

 

キタきつねの所感

りらいあこみゅんにケーションズは、東証一部上場企業ですので、この事件の影響は他のコールセンター運営企業にも相当インパクトを持って受け止められたかと思います。

 

仮に、朝日新聞の報じた様なパターンで音声編集が出来てしまうのであれば、顧客(一般消費者)に不利益な事が何でも出来てしまいます。更に6/12日の朝日新聞の続報記事では、捏造のケースも書かれていました。

「これは絶対違います」。朝日新聞が入手した編集の前と後の音声データを聞いて、さいたま市大宮区の女性(84)は誰かが自分になりすまして話していることに驚いた。

 女性は2019年10月の実際の電話で、「ホントに私よく分からないの」と時折、口にしていた。しかし、会話は丸ごと作り替えられた女性役を演じるりらいあ社の社員の声は甲高い。オペレーターの説明を受けると、「丁寧に教えていただいたので大丈夫」と述べ、東京ガスから東京電力への契約切り替えが済んだ形に変わっていた。

朝日新聞6/12記事より引用)

 

何故、ここまで一部の従業員が不正行為を出来てしまったのでしょうか?公式発表を見るとりあいあ社側が事件を把握したのは今年の1月となっています。

しかし、1月から6月までの間に、事件をりあいあ社が自ら発表して無い様ですし、鹿児島センターの責任者と思わしき方が異動した様な人事発表も公式リリースには見つかりませんでした。

 

(以下根拠はありませんが)東電側の指示により事件公表を控えていた可能性も考えられますが、朝日新聞の6/11スクープ記事が出てすぐにリリースを出している事を考えると、内々に関係者を処分し、事後対策をしただけで、事件を公表する気がなかった、そんな風にも読み取れそうです。

本日の朝日新聞紙面において、当社の鹿児島センターにおいて不適切な電話勧誘並びに録音改ざん・捏造が行われていたとの報道がなされました。


本件につきまして、当社は、2020 年 1 月に当該事象を把握し、直ちに内部調査を行った結果、当該オペレーションセンターの一部従業員において不適切な電話勧誘並びに一部の音声データへの不適切な編集を行っていた事実を確認しました。

当社は、当該事実を委託元企業様にもご報告したうえで、社内で厳正な処分を実施するとともに、類似業務において同様の不適切な事象がないことの確認、再発防止策の策定等を実施しております。


当社といたしましては、これまでもコンプライアンス遵守を経営の最重要課題として取り組んでおりましたが、このような事案が発生したことを厳粛に受け止め、再発防止に全力を尽くしてまいります。

(公式発表より引用)

 

また”元の疑問”に戻ってしまうのですが、各社報道や公式発表を見てもしっくりきません。

鹿児島センターがどういった環境であったのかを知る術が無いので、間違っているかも知れませんが、私は組織ぐるみでないと、この録音改ざん・捏造が成り立たない気がします。

 

鹿児島センターの一部の従業員が行った事とは言え、不適切な電話勧誘を隠すための音声データの改ざんや捏造は、東電が提出を受けた71件の音声データのうちで44件に不正が見つかったと報じられています。44件というのは、被害件数を考えると鹿児島センターの一部の従業員が行ったという説明に合致しますが、一般オペレータが「録音データ」に何故アクセス出来たのか?という部分の説明はされていません。

 

仮に一般オペレータに録音データへのアクセス権があるのだとすれば、鹿児島センターだけでなく他のコールセンターも同様な運用だった可能性が高くなります。その場合、東電の受託案件だけでなく、過去の分まで遡って調査をする必要が出てくる訳ですが、公式発表で「類似業務での不適切な事象が無い事を確認」と断言していますので、そこまでの影響範囲ではなかった事が想像されます。

 

一般的には、通話録音データを削除、編集できる特権IDは、ITシステム部門や、センターの上位役職者にしか付与されてない事が多いかと思います。

今回のケースでの特権ID管理状態がどうであったかは不明ですが、契約数ノルマに追われて、オペレータのみならず、鹿児島センターの上層部まで関与した、そんなシナリオの方がしっくりくる気がします。

 

 

余談です。りらいあ社の口コミサイトを見ていると、古い投稿なので現状は改善されているかも知れませんが、オペレータ教育に関して気になる書き込みがありました。

f:id:foxcafelate:20200612103617j:plain

 

f:id:foxcafelate:20200612103350j:plain

 

仮にオペレータ教育を十分に行わずに、ノルマを課していたのであれば、今回の事件を受けての再発防止策がよほどしっかりしてない限り、また似たような事件が起きてしまう可能性を感じました。

 

再発防止策の肝は、まずはしっかりした従業員教育ではないでしょうか。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 詐欺の電話のイラスト(女性)

 

更新履歴

  • 2020年6月12日 AM