個人情報保護 (相次ぐ大規模流出)


日経新聞の平成21年9月8日付記事です。今年になって大規模な顧客情報流出事案が相次いでいる。三菱UFJ証券148万人分、アリコジャパン13万人分、アミューズ11万人分、デジタルダイレクト5万人分などです。記事では、管理体制が甘いこと、カード番号と有効期限だけでネット決済できることなどが、事案の減らない理由だとしています。

9月9日に行われた三菱UFJ証券事件の初公判で、同証券の損失額は70億円を超えるとの試算が提示されました。外部に情報流出した約5万人の顧客へのお詫びギフト券が5億円、原因調査や顧客対応に要した費用、流出先との折衝を依頼した弁護士費用などを含みます。最大は機関投資家からの発注減少による逸失利益ですが、その推定金額が明らかにされていません。恐らく60億円前後でしょう。顧客の信頼回復には相当の時間を要しますから、逸失利益は更に増える筈です。

同証券が7月2日付で金融庁に提出した業務改善報告書を見ると困惑してしまいます。率直に言えば、反省文というより自慢文という印象です。通常に必要とされる情報保護対策は全て実施しており、それらが羅列されているのです。一般事業会社では想像できないレベルでしょう。偶々、リスク管理の狭間であるシステム部門の外部委託オペレーター・ルームで、それも権限を有する管理職による不正が起きた。経営者には、情報保護必要性の認識が充分あり、適切な態勢整備の実施にも努めてきたが、それを活かしきれていなかったと言います。ルール上では消去しなくてはならない転出者のIDが残っており、それを悪用されたのが、本事件での落とし穴になっています。つまり、実効性の問題で、全社均一対応が社員の緊張感を薄れさせたとの判断です。今後は、社員教育などを一段と強化し、リスクベース・アプローチにすると改善策を示しています。こうした状況は、殆どの金融機関で共通でしょう。他社の経営者にも明日は我が身なのですが、そうした雰囲気は感じられません。まさしく性善説の企業風土であり、民族性であります。

アリコの事案では、調査に時間がかかっています。外部からの侵入形跡が見つからなかったことで、内部犯行説が有力になっています。当該ファイルへのアクセス権限を持つ社員は約40名(これは多すぎるといわざるをえません。)いるそうですが、彼らには落ち着いて仕事をできない日が続いていることでしょう。個々の社員のアリバイを証明できるような仕組み(例えば全アクセス・ログ等)がなかったのでしょうか。とすれば、悪意または事故による流出を防止するという意図だけで、自らの社員を守るという目的が情報保護対策から抜けていたということになります。

8月のアミューズの事案も衝撃というか象徴的な出来事でした。中国にあるサーバーからの不正アクセスが原因だったからです。これだけで、犯人が中国人だということにはなりませんが、国を超えてこうした犯行が行われる時代に入ったということです。海外では、毎日のように新しい犯行手口が開発され、新しいツールがネットで流通しています。それも低価格で。情報を買うビジネスも盛況だそうです。今までも外国からの侵入リスクは警告されていましたが、日本では公になった実例が殆どないので、経営者には狼少年でしかないようです。アミューズ事案を認識している金融機関経営者は稀です。リスク管理部門の実効性にも不安がよぎります。こうした事例を把握していないのか、上に報告していないのか。

NRIセキュアテクノロジーの調査によれば、カード情報を扱う通販サイト27を分析したところ、重要情報に不正アクセスできたのが10社、情報漏洩の可能性のあるサイトが14あったそうです。同社は、せめてカード番号等重要データを暗号化すべきだと提唱しています。DESの国際標準期限切れなどの問題もあり、これまで金融業界がコストや技術的な制約から先送りしてきた、暗号化という課題に本気で取り組まざるをえない状況になったと思います。恐らく全銀協において、来年の主要検討項目となるでしょう。

金融庁は7月10日に個人情報保護ガイドラインの改正案を公表し、8月10日締め切りでパブコメを募集しました。8月内には改正ガイドラインを発出する予定だったようですが、延期されています。この改正案は、各省庁バラバラのガイドラインを、可能な部分を共通化しようとする内閣府主導の動きに沿ったものでした。要は表記方法の統一であり、無用の混乱を避けるためのリスクベース安全管理措置、プライバシーポリシーでの表記事項追加、主務大臣の権限行使手続きなどを明記するものでした。

同庁は、8月7日に平成21事務年度検査基本方針を発表しました。それでは、システムリスクに関連して共同化やアウトソーシングにおける委託先管理態勢、顧客保護に関連して顧客情報保護態勢などを重点的に検証するとあります。従来の検査方針と差はありませんでした。ところが、8月18日に発出した同事務年度監督方針では、情報セキュリティ管理等に係る内部管理態勢の整備を強く促すと、検査方針より強い表現になっています。そして、役職員による不正行為(情報漏えい、インサイダー取引等)の防止に向けた職業倫理の強化も要求しています。今年、金融庁検査を受ける金融機関は、個人情報保護対策の状況、特に実効性確保のための施策が厳しく検証されることでしょう。

ITベンダーの皆さんは、好機到来と単純にセキュリティ製品の売り込みを強化しても無駄です。すでに、暗号化を含めて様々なツールが導入されています。お陰で思うようにPCの更改もできない状況です。利用部門では、錯綜するツールによって操作性が大きく損なわれています。ツールの導入イコール情報保護と考えた結果であり、それはITベンダーにも大きな責任があります。業務プロセスとランク分けされた重要情報をフローと操作内容に沿って整理し、リスク程度を把握した上で、権限やツールの配置を行うべきです。社員の教育啓蒙、職場でのコミュニケーションと相互牽制も欠かせません。ツールの導入だけでは流出時の免罪符になりません。形式ではなく、実効性が要求されます。