委託先管理 (横浜銀行でカード偽造事件)


日経新聞が平成26年2月5日に報道して、銀行界は大騒ぎになりました。事件の概要は以下のようなことです。浜銀から見ると再々委託先の技術者がカード情報を不正に入手し、テスト用カード発行機を使ってカードを偽造し、2400万円を盗取したということです。容疑者は、ATM取引ログの解析や関連機器の管理権限を持ち、入社以来一貫して浜銀を担当する生粋の技術者ということです。データ不正入手件数は銀行26行とカード会社16社の132口座分で、その内、浜銀以外金融機関の口座48が引出しに使われたそうです。期間は2012年5月〜13年10月の間と見られ、警察は昨年11月に逮捕しました。その時点で、容疑者は富士通フロンテックから懲戒解雇されています。

こうした事件は、完全に防ぎきれませんから、トラブルの都度、批判するのもどうかと思いますが、メディアや一般の銀行顧客の間では、何か妙なことになっているとの印象が強いようです。再発を防ぐためにも、また、こうした事案が発生した時の関連各社の説明をより納得性の高いものにする為にも、広く議論し、改善策を講じるべきだと思います。

報道の後、メディア、銀行、IT関連企業の人達と、当件について情報交換をしましたが、その過程で出てきた疑問点を列挙してみました。再発防止策等の議論に役立つかもしれません。

メディア関係者達の疑問点

◇横浜銀行以外の口座だけから現金を盗取したのは何故か。

◇プロジェクト部長という職種は何なのか。何かプロジェクトを担当していたのか、それとも、特定の業務のみに専任する名誉職のようなものか。

◇1985年に16歳前後で入社して30年間も同じ顧客と業務を担当することは、IT業界でよくあることなのか。銀行やNTTデータ、親会社の富士通社員との力関係にどう影響するのか。

◇委託を連鎖して孫請け会社の社員が常駐に近い形で勤務を続けることは、派遣業法等にふれないのか。(ちなみに、フロンテック社は、大宮に容疑者の席があり、専任という形で浜銀のセンターで業務していたと説明している。)

◇フロンテックでは他の銀行に関する作業は自社内で複数の担当者が分業、相互牽制する態勢でありながら、何故、浜銀だけはオンサイトで複数の特権IDを一人に集中させていたのか。

◇2012年11月地銀共同システムでのカード偽造事件で地銀界が大騒ぎになっていた時期でも、この犯行は継続していた。当時、浜銀でも様々な調査や防止策強化が行われた筈だが、この犯行への抑止力にはならなかったのか。

◇カードは今回のように簡単に作れるものなのか。他の銀行も同じなのか。

◇横浜銀行から元請けのNTTデータ、そして富士通、富士通フロンテックともに、自分達はベストエフォートしており例外的な穴をつかれたと主張している。本当にもっと防止策がなかったのか。(ちなみに、今回は、特権ID管理や重要作業のモニタリングなどの仕組みがあったとは報道されていない。)

◇最終的にはフロンテックが賠償責任を負うとして、責任をたらい回しにするような発言をベンダー各社が発しているが、契約条件がそうだとして、それで良いものなのか。

◇仮に被害銀行が横浜銀行とベンダー3社に民事訴訟を起こしたらどうなるか。(金融機関同士の関係なので訴訟は考え憎いが、あるとすれば重過失の構成要件である予見可能性、防止容易性ともに立証は容易。)

◇不正のトラアングル論で言えば、動機、機会、正当化の3要素を検証する必要があり、機会を減らすだけでは、再発すると言えないか。

◇悪意のある権限者の犯罪は防げないとベンダーは言い切っているが、本当にそうなのか。ダブルチェック態勢でも駄目なのか。銀行から料金を抑えられて、対策費を節減しただけではないのか。

◇銀行が料金を抑えたいというのであれば、ATMの高度な専門知識がないので富士通に委託したというNTTデータを介さずに、何故、直接フロンテックと契約しないのか。それだけで、20%前後は安くなる筈だが。(このあたりに、わが国IT産業の多層的下請け構造の弊害が浮き出てくる。一方で、発注者は何もわからないのでベンダーに丸投げする結果の弊害も日経新聞が6日付で報道した通りかと。)

金融庁の立場を推測すると

◇浜銀からの報告が遅れた。昨年11月に逮捕された時期ではなく、日経に報道された2月5日(までにと表現しているが、昨年12月に報告したとの報道も。) の報告や社会への公表となったのは何故か。警察が公表を控えるように言ったとのことだが、容疑者を逮捕し、逃亡、証拠隠滅の恐れがないにも関わらず、警察が公表したがらない理由があるのか。

◇2012年11月にほぼ同様の事件がNTTデータ地銀共同システムで発生し、その後、委託先管理の点検と報告を全金融機関に求めた。特権ID管理という最も代表的なリスクポイントに対し、何のチェックも改善もしていなかったのか。当時の報告内容と齟齬はないか。

◇銀行だけでなく、関連ベンダーに立ち入り検査を行い、改善策を銀行全体に提示せざるをえない。また、改めて、各行の委託先管理態勢の検証と早急な改善を求めざるをえない。

こうして並べて見ると、日経新聞報道のように外部委託化が進み、主体者である銀行の管理能力が不全化した結果とすれば、話は根深くてややこしい問題となります。管理能力を簡単に補強することはできません。むしろ、IT能力の建て直しは単独では永遠に無理という銀行が大半です。その前提でどうしたら良いかを考えるほかありません。わかってはいたものの、悩ましい問題が顕在化してしまいました。

                                     (平成26年2月7日 島田 直貴)