5月22日の「三菱UFJ証券の個人情報漏洩事件(続)」の更に続きとなるニュースがありました。
金融庁から行政処分が三菱UFJ証券株式会社に対して下されたことと、個人情報漏洩の犯人(同社元部長代理)が逮捕されたことです。
　
「金融庁による行政処分について」
http://www.sc.mufg.jp/company/inform/apology/press0625_3.html
（三菱UFJ証券株式会社　プレスリリース　2009.6.25）
「三菱ＵＦＪ証券株式会社に対する行政処分について」
http://www.fsa.go.jp/news/20/syouken/20090625-2.html
（金融庁　報道発表　2009.6.25）

以上のことから、本日、当社に対し、以下の行政処分を行いました。
　
○　金融商品取引法第51条に基づく業務改善命令
①情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること。
②大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること。
③今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること。
④例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること。
・部門間の牽制機能の確保
・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への管理・牽制の強化
・不正行為の隠蔽の防止
⑤不正行為の未然防止に向けて、人事管理等の改善を図ること。特に、職業倫理の強化等を図る観点から教育・研修のあり方を見直し、適切に実施すること。
⑥上記③〜⑤への対応状況を含めた当社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる改善を図ること。
⑦上記①〜⑥への対応状況について、平成21年7月3日まで（及び必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客等への周知を図る観点から、その概要を公表すること。
　
○　個人情報の保護に関する法律第34条第１項に基づく勧告
①個人データの安全管理のための実効性のある措置を確保すること。
②個人データの安全管理を図るための従業者に対する監督を徹底すること。
③上記①・②への対応として行った措置について、平成21年7月3日までに、書面で報告すること。

やはり業務停止命令とまではいかず、業務改善命令どまりでした。さて、ここで当然ながら、再発防止策をきちんと立てて、それを実行することが要求されています。具体的な内容は 7月3日に三菱UFJ証券のサイトで公開されるでしょうから、またそれを見ようと思います。
　
「弊社元社員の逮捕について」
http://www.sc.mufg.jp/company/inform/apology/press0625_2.html
（三菱UFJ証券株式会社　プレスリリース　2009.6.25）
逮捕については、特にコメントすることはありません。