三菱UFJ証券、情報漏えいの再発防止について表明

三菱UFJ証券は、情報漏えい事件で元従業員が逮捕されたことを受けて、再発防止に向けた方針を表明した。

[ITmedia]

　三菱UFJ証券は6月25日、情報漏えい事件を引き起こした元従業員が不正アクセス禁止法違反などの容疑で逮捕されたことを受け、再発防止に向けた方針を発表した。容疑者が顧客情報以外にも、同社が社外から継続的に購入している一般情報を持ち出していたことも併せて公表した。

　この事件は、システム部の元部長代理が不正に顧客情報データベースにアクセスし、約148万人の顧客情報を持ち出したもの。このうち4万9159人分の個人情報を3社の名簿業者に32万8000円で売却した疑いが強まったとして、警視庁が25日に不正アクセス禁止法違反と窃盗の容疑で逮捕した。売却された個人情報は数十社の企業に出回り、顧客宅などへ不審な勧誘や問い合わせが相次いでいる。

　三菱UFJ証券は事件が発覚した以降、「お客さま情報流出対策本部」を設置。社外の有識者や専門家による調査委員会に外部の専門調査機関を交えて、事実調査や原因究明を進めているという。調査委員会が報告書をまとめており、これに基づく再発防止策の提言を受けて入れたとしている。

　調査委員会が同社に提言した内容は以下の7つ。

1. リスク管理施策における経営陣の基本姿勢についての提言
2. 情報セキュリティガバナンスに関する提言
3. 組織的、技術的コントロールに関する提言
4. 人的コントロール（教育、研修など）に関する提言
5. 各種ルールの運用実態の検証についての提言
6. 危機管理の調査実務についての提言
7. 再発防止策実施状況のモニタリングについての提言

　同社では、これらの提言を基にして、導入済みの対策も含めた具体的なプランを策定、公表する予定。また金融庁は同日、三菱UFJ証券に対して業務改善命令および個人情報保護法に基づく勧告を発令した。

業務改善命令の内容

1. 情報が流出した顧客などの保護や被害拡大の防止に向けて、必要な措置を講じること
2. 大量の顧客情報などを流出させ、顧客などに被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
3. 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
4. 例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
5. 不正行為の未然防止に向けて、人事管理などの改善を図ること。特に、職業倫理の強化などを図る観点から教育、研修のあり方を見直し、適切に実施すること
6. 3ないし5への対応状況を含めた情報セキュリティ管理などのあり方について、内部監査の充実、強化や外部監査の活用などにより検証し、その結果を踏まえてさらなる改善を図ること
7. 1ないし6への対応状況について、2009年7月3日までに（および必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客などへの周知を図る観点から、その概要を公表すること。

個人情報保護法律に基づく勧告内容

1. 個人データの安全管理のための実効性のある措置を確保すること
2. 個人データの安全管理を図るための従業者に対する監督を徹底すること
3. 1および2への対応として行った措置について、2009年7月3日までに、書面で報告すること

　同社では行政処分に基づいた業務改善命令への対応状況を策定し、金融庁に報告書を提出する予定。金融庁に提出した報告書の概要は公表するとしている。

過去のセキュリティニュース一覧はこちら