◆三菱ＵＦＪ証券の顧客情報漏洩事件から学ぶべきこと: ＩＴ維新研究所

2009.07.16

◆三菱ＵＦＪ証券の顧客情報漏洩事件から学ぶべきこと

三菱ＵＦＪ証券の顧客情報漏洩事件から学ぶべきこと

【はじめに】

情報漏えい事件を引き起こしたＩＴ要員が「不正アクセス禁止法違反」などの
容疑で逮捕されたことを受け、三菱UFJ証券は6月25日、再発防止に向けた方針
を発表しました。
更に、この容疑者は顧客情報以外にも、同社が社外から継続的に購入している
一般情報も持ち出していたことも併せて公表しています。

社内の情報管理体制の杜撰さを露呈した事件ですが、対岸の火事として放置
しておくわけにはいきません。

ＩＴシステムで、顧客情報を管理している企業に共通するシステムリスクの
一環といえます。

この事件では、システム部の部長代理が不正に顧客情報データベースに
アクセスし、約148万人もの顧客情報を持ち出し、
持ち出した顧客情報の中から、4万9159人分の個人情報を3社の名簿業者に
32万8000円で売却したとのことです。

この程度の金額で、職を失い、刑罰を受けることになったのですから、
割に合わない犯罪ということになりますが・・。

売却された個人情報は、名簿業者から数十社の企業に転売され、
リストに基づき不審な電話勧誘や問い合わせが相次いでいるとのことです。

【事件発覚後の対応】

三菱UFJ証券は事件が発覚した以降、「お客さま情報流出対策本部」を設置。

社外の有識者や専門家による調査委員会に外部の専門調査機関を交えて、
事実調査や原因究明を進め、調査委員会の報告書に基づく再発防止策の提言
を受けて、再発防止策を公表しています。ホームページに概要があります。

http://www.sc.mufg.jp/company/inform/apology/index.html

【事件発覚の事情】

ところで、今回の事件の発覚は、顧客クレームによるものとのことです。

「不動産業者等の勧誘が頻繁に入るようになった」との顧客からの相談を
受けて､顧客情報が外部に流出している可能性が高いと判断したということ
ですが、電話勧誘は通常化しており、自分の個人情報はあちこちに
分散登録されており、どんなルートで流出したものかを判断するのは難しい
と思われます。どのような調査が行われ原因が判明したかは不詳ですが、
ともかく自社の顧客情報の流出が判明し、4月8日に対外公表
および記者会見を行っています。

【顧客への対応】

１．情報流出顧客へのお詫びのご連絡

情報が流出した約5万名の顧客について、営業担当者が個別の電話や訪問
によりお詫びと事情説明を行うと同時に、お詫びの手紙を送付。

この作業だけでも大変な労力とコスト負担を強いられることになります。
通常の営業活動は、二の次にせざるを得ません。
経営に対するインパクトも大きなものがあります。

2．お問い合わせ窓口・弊社ホームページ内専用ページの設置

3．お詫びのしるしとしてのギフト券の送付

事態の重大性、顧客の経済面や精神面での被害、果たすべき社会的責任など
を総合的に考慮し、名簿業者に情報が流出した顧客に対し、
「お詫びのしるし」として、1万円相当のギフト券を6月下旬に送付。

これだけでも五億円のギフト券代金と郵送関連の経費が
発生することになります。

今回のような事件が発生すると、社会的な信用失墜だけでなく、
修復のための労働力と経済的に多大な出費が必要となります。

リスク管理に関するコストは、何事もない場合には、
カットの対象となりがちですが、保険と同様で、事故発生予防と
事故発生時の出費予想とのトレードオフの問題となります。

転ばぬ先の杖といいますが、セキュリティー対策には事前の対応が
必要ということです。

【公表されている再発防止策の要約】

再発防止策に関しての概要がホームページ上で公表されています。

要約をまとめてみました。

自社の自己点検のチェックリストとして役立つものと思われますので、
参考にしてください。

1．システムリスク評価への対応強化

経営陣の情報セキュリティ施策に対する実質的なコミットメントを
さらに強化するため､「事務リスク・情報セキュリティ委員会」
を設置し、システムリスク評価に基づく施策の検討・議論の場
（リスクベースアプローチの強化）とし、より実効性の高い合理的な
リスク管理体制を整備。

2．情報セキュリティ・ガバナンスの強化

情報セキュリティ管理の統括機能を一元化するため、７月1日付で、
「システム部が所管していた情報システムのセキュリティ管理」を
「情報セキュリティ管理部」へ移管し、システム部門に対する
監視・牽制機能を強化。

3．システム部署への監査機能強化

内部監査部システム監査室の情報セキュリティに関する監査プログラムを
見直すとともに、監査スキル等の向上を図り、
より深度のある内部監査の実施に注力。

4．部門間の牽制機能の確保

システム部を改組し、「開発」、「運用」、「監視機能」を分離して、
システム部門内における監視体制を明確化。

5．外部委託先を含めた各種手続きの運用実態の検証と、その実効性の確保

個人情報の適切な保護に関する方針として「個人情報保護方針」を、
情報セキュリティに係る基本規程として「情報資産リスク管理規程」、
「情報管理手続」、「個人情報保護手続」、「情報システム管理手続」等
の規程の再確認。

「外部委託先が運用しているオペレータルーム」では、
弊社手続きが徹底されておらず、手続き自体にも不十分な点があったため、
外部委託先を含めた各種手続きの運用実態の実効性の確保を図るため、
オペレータルーム専用の運用管理手続きを定め、
全オペレータにその内容を徹底。

6．不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、
当該権限等の分断又は幅広い権限等を有する職員への管理・牽制の強化

行為者は、顧客情報等の検索ツールの開発・運用等に従事しており､
個人顧客情報の不正持出しを可能とする一連の権限等が分断されておらず、
行為者への管理・牽制も不十分のため、改善策として、
7月1日付でシステム部を「システム統括部」と「システム推進部」とに
分割・再編し、運用部門として独立させた「運用管理室」を
システム推進部の内室として新設し、開発、運用に係る権限等を分断。

また、ＩＤ・パスワード管理の強化、顧客情報検索のログデータの監視、
顧客情報へのアクセスログの検証、防犯カメラの増設等
による牽制機能の強化。

7．不正行為の隠蔽の防止

行為者は、他人のＩＤを使用するなど不正を隠蔽する行為を行いました。
これは利用権限の抹消が漏れていたことが背景にあったため､抹消確認の
手続きを強化。

また同時に、顧客情報の検索が可能なシステムについてのログデータの監視等
を強化。

8.教育研修の強化

各層への多面的な研修を行い、職業倫理の徹底、管理者への部下の労務管理
の研修、等を含めたセキュリティー対策のための研修プログラム実施。

更に、重要なことは、外部委託会社職員に対する研修の実施です。
外部委託先と共同で綿密な研修と指導が必要ということです。

9．内部監査部システム監査室のシステム部署への監査強化

システム監査室の情報セキュリティに関する監査プログラムを見直す
とともに実地監査時に外部専門家を監査メンバーに加えるなどにより、
システム監査スキル等の向上についても一層注力。

【まとめ】

ＩＴ要員が、システムの盲点をついて顧客情報を外部に流出させる事件は
数多く発生しています。
しかし、現実には、流出したかどうかもわからない場合が多い
と言われています。

なぜなら、今回のように顧客クレームから発覚したという事例は
稀ではないかと思われるからです。