三菱UFJ証券の個人情報漏洩事件

未分類

4月8日に公開された三菱UFJ証券株式会社での情報漏洩は、その情報漏洩の手口について深刻なものがありましたが、それだけではなく情報漏洩が起こした結果も深刻なものとなりました。
 
まずは、手口のもたらした深刻さから見ていこうと思います。それには、同社がニュースリリースで公開したものと日経コンピュータの記事が参考になります。
「お客さま情報の流出について」
http://www.sc.mufg.jp/company/press/pdf/press20090408.pdf
三菱UFJ証券株式会社 プレスリリース 2009.4.8)

○弊社のお客さま 49,159名の情報が流出
弊社システム部元社員が、個人のお客さま情報を不正に取得し、平成20年10月3日から本年1月23日までに、新規口座あるいは投信ラップ口座を開設いただいたお客さま49,159名の情報を、弊社との関係を秘匿して名簿業者へ売却いたしました。
尚、元社員が不正取得し自宅に持ち帰ったお客さま情報の総数は1,486,651名でしたが、上記49,159名以外のお客さま情報は既に回収されており、流出していないことを確認しております。
○流出した情報
流出した情報は、お客さまのお名前、住所、電話番号(自宅・携帯電話)、性別、生年月日、職業、年収区分、勤務先名、勤務先住所、勤務先電話番号、勤務先部署名、役職、業種となっております。

三菱UFJ証券の元システム部社員が顧客情報150万人分持ち出し、5万人分を売却」
http://itpro.nikkeibp.co.jp/article/NEWS/20090408/328050/
(ITPro 2009.4.8)

元社員はシステム部の部長代理で、エンドユーザーのコンピュータの操作やデータ処理などを支援する立場を悪用した。元社員は顧客データ処理担当の社員のIDとパスワードを悪用し、障害対応目的と偽って顧客データ管理用のサーバーにアクセス。サーバーを設置していた部屋には監視カメラがあり、かつICカードで入退管理をしていたという。
元社員は148万6651人分の顧客情報を暗号化し、作業用のサーバーに保存した。作業用のサーバーには元社員を含む8人がアクセス可能で、個別にIDとパスワードを付与していた。
通常は作業用サーバーから外部記録媒体に顧客情報をコピーして持ち出すことはできない。しかし、元社員は毎月1回のマーケット情報を記録したCDを作成する作業の際に、オペレータに対して「特殊な作業」と偽り、暗号化した顧客情報をCDに保存するよう指示。CDをシステム部で作業すると偽って自宅に持ち帰り、パソコンのハードディスクに顧客情報を保存した。

おそらく、三菱UFJ証券では、以下のようになっていたと思われます。
[本番サーバー]…顧客情報あり・臨時作業で外部に顧客情報を出すのは不可
[作業用サーバー]…本番データなし・一定のルールの元で外部への臨時出力可
これは割と一般的な構成だと思います。
おそらく、本番サーバーからダイレクトに顧客情報を出すルートもあるのでしょうが、多分レアケースで足がつきやすいので、それは避けたのでしょう。
そこで、比較的よく行われるであろう手順(作業用サーバー経由)を利用して、本番データを外部に持ち出したとのことです。当然にその作業用サーバー経由の方法も誰もが自由にできないように統制されたものになっていたようですが、きちんとその統制に従った手順を踏めば中身や目的のチェックまでは逐一行わないのが実態だったようです。おそらく、逐一そこまでチェックをしていたら、実務として回らないのでしょう。
三菱UFJ証券はきちんとした手順と作っていたし、その手順も単なる形式ではなく正しく運用していたであろうことは、この犯人の行ったことを見れば分かります。しかし、この犯人はシステム部の所属であり、手順の抜け道を非常によく理解していました。
この情報漏洩の深刻さはそこにあります。どんなに強固な仕組みを作ったところで、その仕組みを知る悪意ある人からは情報を守る術がないし、そういう人物が理屈上だけでなく実在したということです。この再発防止策の策定は難航するものと思います。
 
そして、もう一つ、情報漏洩が起こした結果の方です。
三菱UFJ証券ニュースリリースでは以下のとおり公表しています。
「お客さま情報の流出について」
http://www.sc.mufg.jp/company/press/pdf/press20090408.pdf
三菱UFJ証券株式会社 プレスリリース 2009.4.8)

○お客さま情報が売却された名簿業者等への対応
情報流出が確認された名簿業者3社に対しては、弊社お客さま情報が不正に持ち出された旨を説明し、既に当該情報の使用および販売中止の約束を取り付けております。
また、上記名簿業者からは販売先の情報を得ており、今後もその全容解明に努めるとともに、既に一部の販売先からは、当該情報の使用の中止および破棄の約束を取り付けております。
上記名簿業者より名簿を入手したと思われるその他の販売先につきましても、順次、同様の約束を取り付けるよう対応を進めております。

「お客さま情報流出に対する弊社対応について」
http://www.sc.mufg.jp/company/press/pdf/press20090417.pdf
三菱UFJ証券株式会社 プレスリリース 2009.4.17)

弊社元社員が個人のお客さまの情報を不正に取得し、名簿業者にその情報を売却するという事態が発生したことを受け、弊社では、まずお客さま対応を第一に考え、緊急対策本部を設置して対応して参りました。
現時点での取り組みと調査状況につき、以下のとおりご報告いたします。
○お客さま情報流出対策本部の設置
  (中略)
○名簿業者等への対応
元社員からお客さま情報を入手した名簿業者3社が当該名簿を販売した先は、当初13者とご報告していましたが、その後の調査で14社であり、他にサンプルのみを受け取った業者が現時点で15社あることが判明しています。また、お客さまから頂戴した情報から、弊社のお客さま情報を入手した可能性がある業者も50社程度ございます。
これらの業者に対しては、弊社お客さま情報を利用した勧誘の停止と、勧誘リストからの削除を求めるとともに、弊社の代理弁護士から警告書を送付し、事態の収拾に努めております。
○その他
弊社は、その後も調査を継続しておりますが、警察の捜査中であり、発表は差し控えさせていただきます。

何故、三菱UFJ証券がこんなニュースリリースを出しているのか?というと、それは流出した個人情報が悪用されており、その被害が実際に出ているからです。
それらについては、マスコミで報道されています。一番目に挙げた日経コンピュータの記事が最も参考になります。
「[詳報]業績に大きな打撃、補償には適切に対応---三菱UFJ証券の秋草社長が会見」
http://itpro.nikkeibp.co.jp/article/NEWS/20090418/328650/
(ITPro 2009.4.18)
「勧誘電話『ノイローゼに』 三菱UFJ証・顧客情報転売」
http://www.47news.jp/news/2009/04/post_20090418081017.html
(47NEWS 2009.4.18)
「流出拡大、進退へ発展も 三菱UFJ証 顧客情報、77社に」
http://www.business-i.jp/news/sou-page/news/200904180107a.nwc
(FujiSankei Business i 2009.4.18)
ここで留意すべきことは、流出した個人情報が悪用されたことによって企業が深いダメージを負ったこと、そして、流出した個人情報の悪用を防ぐ有効な手段が存在しないということです。
なお、名簿業者は悪用ではなく利用であると主張するかもしれませんが、正当ではない手段で入手した個人情報の利用は悪用であると私は考えているので、ここでは悪意の有無にかかわらず「悪用」と表現しています。
 
この事件は、間違いなく歴史に残る情報漏洩事件となるでしょう。いずれ、被害者への金銭的補償がなされ、また事態の収拾にかかった費用が明らかになると思いますが、それは1つの参考になることは間違いありません。
これは、損保屋として最後までウォッチすべき事件だと思っています。