« 内部通報に接した取締役の「遵法行動」の重要性 | トップページ | 必読!!痴漢事件・最高裁逆転判決(速報版) »

2009年4月13日 (月)

三菱UFJ証券個人情報流出事件にみるリスク管理のむずかしさ

4月8日付けで三菱UFJ証券さんが個人情報流出の被害に遭われた方々に送付した「お詫び」文書を入手いたしました。とくに報道された内容やHPで公開しているところと変わったことは書かれておりません。警察と協力して、全容が解明され次第、また改めてご報告します、ということと、流出した情報内容(年収区分や勤務先の役職等を含む)、名簿業者3社への対応、名簿業者の販売先への使用中止要請等の活動内容も付記されておりますが、なんら具体的な進捗状況については記載されておりません。流出させた元社員が全ての顧客情報を売りつけようとしたところ、名簿業者側より、新規顧客しか情報の価値がないとされたことから、平成20年10月以降に新規に口座を開設した顧客のみの個人情報が売却されたわけですから、被害者側とすればこの名簿業者の氏名住所も知りたいところですよね。(損害賠償請求の被告になりうるわけですし、また三菱UFJ証券さんに損害賠償を求めるにしても、被害と情報漏洩行為との因果関係を立証するためには名簿業者の特定が必要ではないかと。)現時点では警察捜査との関係で、明らかにされないでしょうが、時期をみて個人情報流出の被害者には公開していただきたいところであります。三菱UFJ証券さんが完全な補償ができないのであれば、せめて被害者らの自力救済の道だけは保証すべきでしょうね。

しかし、元社員の供述によると、消費者金融からの借金返済のために、(しかも売却額は30数万円だとか)このような個人情報漏洩の事件を起こしたしまった、ということについて、なんとも金融機関のリスク管理の恐ろしさを痛感するところであります。そもそも個人情報にアクセスできる人間が8名で、他のアクセス権者のIDとパスワードを使用して自ら管理していたパソコン端末によって情報にアクセスしていた、ということですから、社内調査が開始されれば容易に情報を漏洩した人間が判明するものと(冷静に考えれば)理解できるとこだとは思うのですが、やはりせっぱつまった状況にある人間にとっては、自分にとって都合の悪い結果となる予測というのが正常にできなくなるのかもしれません。(自分でネット情報から名簿業者を探しだした、という事情にも、なにか元社員が金銭を必要とする切迫性が感じられます。そういえば公認不正検査士の研究会でも、同じような金融機関の不祥事が紹介されていました。倫理研修は、そもそも正常な判断ができる状況にある社員には理解できても、個人の諸事情により、そのような正常な判断ができない状況に陥った社員にはほどんど効果がない、といわれるところであります。)おそらく元社員としては、顧客から多くの問い合わせがなされることはないだろう、といった短絡的な予測があったのではないでしょうか。(ただ、流出させた情報には「年収区分」がありますので、特定の顧客に勧誘が殺到することについては容易に予想がつくところではないかと思うのでありますが)

さて、こういった不祥事の発生が報道されますと、金融機関のリスク管理が甘かった、とするコメントがよく出てきますし、実際にリスク管理が不適切であったことも認められるかもしれませんが、これまでも銀行や証券会社において、こういった個人情報漏えいなど、自社にとって不都合な事件が正直に公表されていたのか、という疑念もありますし、また顧客からの苦情(問い合わせ)に対して、これまでも誠意をもって社内調査を開始していたのかどうか、といった疑念も残りますので、なんとも言えないところであります。また、本事件につきましては、情報管理対策の限界を超えるものとして、「内部統制の限界」事例として処理されるのかもしれませんが、せめて再発防止策・・・という観点からは、本件が発覚した経緯から、漏洩社員が特定されるまでの事情を広く社内に報告し、「金融機関のリスク管理が厳格化してきており、情報漏えいは犯人が容易に特定できる」という認識を、ひとりでも多くの社員が共有することにあるように思われます。

4月 13, 2009 コンプライアンス経営はむずかしい |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/104680/44654477

この記事へのトラックバック一覧です: 三菱UFJ証券個人情報流出事件にみるリスク管理のむずかしさ:

» 社員を疑う トラックバック ぱふぅ家のホームページ
三菱UFJ証券の社員が顧客情報を不正に持ち出し、名簿業者に売却したことが明らかになった。個人情報漏洩事故の当事者は社内の人間であることが多い。中小企業はセキュリティ性善説で管理できても、大企業では性悪説の観点からルールを作らなければならない。≫三菱UFJ証券の個人情報漏洩事件に関する情報を追加しました。... [続きを読む]

受信: 2009年4月19日 (日) 13時56分

コメント

私は取り引きが無いので流出していないと思いますが、
こういう情報を元に富裕層を狙った
泥棒や強盗などが出なければいいなと思いますね。

投稿: sonohigurashi | 2009年4月13日 (月) 10時53分

金融機関内での管理、ということですが、システム面の管理以外にもたぶん、現場上司が根掘り葉掘り部下の資産負債状況をヒアリングしていると思います。金に困った職員に顧客資産や情報を悪用する事例は後を絶ちませんので。
しかし、明らかに性悪説で部下をヒアリングすることも日頃から顔を突き合わせる管理者としても難しいので、そういった管理は限界がありますが。
自社に不都合なことを隠しがちになる、というのはあまりないと思います。かつて小池総会屋事件等でも、そういった隠ぺい体質をその筋に狙われていますし、それ以降は、会社(銀行)が個人を訴訟するのはかなりのケースで見ています。
銀行自身も融資先のコンプライアンス管理は厳しくなっていますし、自分のところの不始末は真っ先に結論づけるような気がしますが。
もちろん金融機関の差はありますし、銀行と証券の差もあるかもしれませんが。
本件における顧客等への誠意の見せ方?は、ちょっと感心できないですけど。


投稿: katsu | 2009年4月13日 (月) 11時45分

sonohigurashiさん、katsuさん、こんにちは。

こういった情報流出を「想定されたリスク」として自衛できる富裕層の方々ならいいのですが、タンス株を慌てて証券会社に預けた新規顧客(この時期、三菱UFJ証券さんも、株券ゆうパックサービスなど、いろいろと顧客開拓に熱心でしたよね)のうち、年収や保有資産の高いところにある方々というのは、おそらくリスク管理という面にも乏しい方々がいらっしゃるかもしれません。商売をする立場からすれば喉から手が出るほど「おいしい名簿」ではないでしょうか。そういった方々だからこそ、急に勧誘の電話に驚き、1000件以上もの苦情が三菱UFJ証券さんにかかってきた、というのが実態のように思います。

証券会社と銀行とのコンプライアンスの差というのは、先日、ある証券会社の方よりお聞きしたことがあります。この点は、ちょっと私もあまり自信のある見解は持ち合わせておりませんので、差し控えさせていただきます。あと、報道などでは急な組織再編による現場の混乱などが問題視されているようですが、これはどうなんでしょうかね?

投稿: toshi | 2009年4月13日 (月) 12時02分

DMORIです。
この部長代理は、消費者金融に借金があり、返済に迫られていたのが不正の動機になったという報道ですね。
金融庁のJ-SOX実施基準に、経営者は不正を引き起こす動機や背景を充分に考えた内部統制が必要、といったポイントがあります。
また、このブログでも何度か登場しています、不正のトライアングルに当てはめても、今回の事件は条件がそろっていました。
情報セキュリティの原則から見ても、厳選されたアクセス権を保有する管理者自らが不正を企んだら、防ぎようがないということを実証して見せたケースです。

企業間の取引では、委託先の経営状況やセキュリティポリシーの整備状況など、いろいろと審査した上で仕事を任せるようになっています。情報管理の責任者クラスには、消費者金融への借金がないとか、住宅ローンを含めても債務超過になっていないなど、身ぎれいな人物かどうかも踏まえて人選する必要があるのではないでしょうか。

投稿: DMORI | 2009年4月13日 (月) 21時53分

企業の情報セキュリティに関しては、
漏えいや不正を物理的に不可能にする仕組み、
これに徹底的にこだわるべきだというのが私の持論です。

顧客名簿を売るという不正行為を行うためには、一定の価値が付く量の
情報が必要です。そうすると、
①紙の束にプリントアウトするか②USBメモリ等の記録媒体に落とすか
③一塊のデータを生成しメールに添付する必要があります。
最後の方法はモニタリングが普及した現在では事実上ありえない
方法だと思います(即日バレるリスクが明白)。
①と②が有力な手段となりそうです。これらをできる限り物理的に
シャットアウトするには次のような手段が考えられます。
①について
 個人情報DBにアクセスできる部署(部屋)・端末を限定する
 かつ
 PDFなど印刷不可コントロールが利くものを活用する
 ゲート制とし、業務エリアと手荷物を分ける(紙の束を持ち出せない)
②について
 USBメモリ等の記録媒体は原則使用禁止とする(申請・許可制)
 ※これは多くの企業で既に実践されているはずです。

もちろん、どうしても穴は発生しますし、費用や業務効率とのバランスも
あるでしょう。
100%阻止することは不可能なのに私が物理的仕組みにこだわるのは、
「普通にできてしまう」ということが犯意をもよおす一因だと考えるからです。
申請書1枚、画面上の警告ひとつでも、規範意識を保つ要素になると思います。
また、物理的なハードルが多いほど、規範のハードルもたくさん越えなければなりません。

問題の社員が越えたハードルはどんなものだったのでしょうね。

投稿: JFK | 2009年4月13日 (月) 23時12分

DMORIさん、JFKさん、ご教示ありがとうございます。DMORIさんがおっしゃる不正トライアングルのひとつ「機会」という点を捉えても、JFKさんの紹介されている「規範意識を保つ要素」の重要性については、私も同感です。意外と情報漏洩の手段は「普通の人でもできてしまう」方法が採用されるケースが多いようですが、ハードルを作ることが大切なのですね。

昨日、三菱UFJ証券の方と話をしたところ、「名簿業者の名前は、捜査中ということで勘弁してほしい」とのことでした。私としては、あくまでも自力救済の道を閉ざすべきではないということで、開示を求める方向で要望いたしました。(真剣に検討してほしいところです)金融庁長官も「たいへん遺憾」とのコメントを出していますね。

投稿: toshi | 2009年4月14日 (火) 11時41分

なるほど。
あまり大きく言えないのですが、確かに個人顧客への配慮と言った点では何かと議論になる企業グループであるため、「対応のまずさ」、はあり得る話だと思いますが、隠ぺいというレベルまではないと思います。
管理ルールは私もイタチごっこのように、つぎはぎで出来てきて、抜け穴のないものを作るのはかなり難しいと思います。

なので、発覚後の初期行動が大事である、という点は大いに賛成いたします。
このグループは、組織再編は3つが一つになったメガと比較しても十分機能していたと思ったのですが。
勝ち組企業に対するやっかみなどもあるかもしれません。
いずれにせよ初期行動ですかね。

投稿: katsu | 2009年4月14日 (火) 11時55分

コメントを書く