オルタナティブ・ブログ > 成迫剛志の『ICT幸福論』 >

”情報通信テクノロジは人々を幸せにする”を信条に、IT業界やアジア・中国を見つめていきます。

情報漏えい対策の難しさ

»

三菱UFJ証券のシステム担当の部長代理が、同社のほぼ全顧客分である150万人の個人情報を名簿業者に売却していた事件が報じられている。

各記事やブログなどで、会社の管理体制の甘さが指摘されているが、イザの記事から判断すると、同社は結構きちんとした情報漏えい対策をとっていたことが伺える。

  • 顧客情報にアクセスできるのは元部長代理を含む8人だけ。
  • 通常、CDやフロッピーディスクなど記録媒体を使っての情報の持ち出しはできない


顧客情報へのアクセスできる人数を最小限にしており、また記録媒体へのコピーもできない様対策をしている模様だ。

  • 元部長代理は、社員が顧客情報を取り扱っている場合、自身も情報を自由に引き出すことが可能だった。


顧客情報にアクセスできる元部長代理を含む8名も、常時アクセスできるわけではなく、何らかの承認手続きを経て、一定時間内のみアクセスできる仕組みだったことが伺える。
また、部下が顧客情報を扱って作業している間、元部長代理が立会いを行う運用であった可能性もある。 ”できごころ”での漏洩を防ぐために必ず立会人を置く運用だったのだろう。

  • 元部長代理は、抜き出した顧客情報を社内サーバーに一時的に保存。定期的なマーケティング業務に紛れ込ませる形で、オペレーターを使ってCDに記録させ、持ち帰っていたという。
  • オペレーターには、「通常の業務に加え、1つ余分に処理するファイルがある」などと巧妙なうその指示を出していたといい、自宅へ持ち帰った顧客情報入りのCDは翌日に返却していた。


しかし、この“立会人”である元部長代理自身が“できごころ”を起してしまい、データーをサーバー上にコピーした。 それでも、そのサーバー上のコピーした情報へ、元部長代理がアクセスすることも制限されていたようだ。
そこで彼は、他の業務でデータを記録する作業に追加する形でオペレーターにデータを記録させて持ち帰っている。
持ち出した媒体:CDを翌日返却しているところから推測すると、媒体の管理も厳格にされていたのであろう。

果たして、ここまで情報管理を徹底している会社が何社あるだろう。 記事からだけの推測の域を出ないが、三菱UFJ証券の情報管理はかなり徹底したものであったが、その管理手続きや仕組みを知り尽くした元部長であれば、それらを掻い潜って情報を持ち出すことができてしまった、ということのようだ。

情報管理とは難しいもので、厳格な仕組みや厳格な管理だけでは情報漏えいを完全に防ぐことができない、ということを思い知らされた事件だ。

Comment(0)