「三菱UFJ証券の個人情報漏洩の行政処分と犯人逮捕」で、三菱UFJ証券株式会社が金融庁から業務改善命令を受けたことについて触れました。業務改善命令の１項目に、7月3日までに再発防止策を報告することが求められており、それが7月2日に公開されました。
「業務改善報告書の提出について」
http://apology.sc.mufg.jp/press0702.html
（三菱UFJ証券株式会社　プレスリリース　2009.7.2）
　
たまたま三菱UFJ証券が問題を起こしましたが、どの会社でも起こす可能性のある話です。
また、損保を含めて金融の大手社は実施されている情報セキュリティのレベルは三菱UFJ証券とほぼ同じと思われます。それは監督官庁が同じ金融庁であるということの影響を受けています。
ということは、同じ事件を未然に防ぐために、三菱UFJ証券の策定した再発防止策に準じたものが監督指針に盛り込まれ、その実施を求められる可能性があります。
私が三菱UFJ証券の再発防止策に興味を示す理由の１つはここにあります。尤も、今回の事件が三菱UFJ証券固有のダメな原因によるものだったら、そういうことになる可能性は薄いのですが。
　
リンク先にある PDF ファイルは、26ページにも渡る文書です。読んでみると、頭の良い人が作った隙のない文書に仕上げたなという印象を受けました。
ともかく、ここに再発防止策や元々行われていた情報セキュリティ管理と犯人が突いた穴について書かれています。
　
再発防止策として、まず目についたのは、役割の分離です。ちょっと規模の大きい組織なら、開発と運用をきちんと分離するのは行われているでしょうが、この再発防止策では開発，運用，監視をきちんと分離することとしています。
運用担当が片手間で監視するよりは分けた方が良いし、監視の対象を広げて頻度を上げれば、被害が拡散する前に手を打てる可能性が高まります。でも、そのために人員を割かなければなりません。会社にとっては、本音を言えばやりたくない策だと思います。
　
もう１点は、倫理的な研修を様々な切り口で行うことが書かれているのが目につきました。やらないわけにはいかないのでしょうが、正直言って再発防止策としての効果は薄いのではないかと思います。
これまでほとんどやっていなかったのなら話は全然違ってきますが、報告書によると三菱UFJ証券は以前からコンプライアンス・マニュアル等も備えているし、定期的に研修・テストも行っていたようです。そして、今回の問題の犯人は、直近３回のテストにおいて、個人情報保護や情報セキュリティルールに関する項目については全て正解だったそうです。
既に一定レベルの研修等が実施されているなら、このあたりの問題解決には、もはや研修等の増加では対処できないと思います。方向性としては、倫理意識を高めることや会社に対する忠誠心を高めることが効果的でしょうが、その具体的かつ現実的な手段は私も思い浮かびません。
今回の再発防止策で密かに期待していたのはこの方面ですが、やはり難しかったようです。