三菱ＵＦＪ証券：全顧客情報１５０万件をコピーできる？？

三菱ＵＦＪ証券の顧客情報漏えい事件について、４月１７日に同社が記者会見を行った。記者会見の内容が報道されているが、どうも内容が腑に落ちない。

------------------------
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm
　顧客データベースに接続できる権限を持つ社員について、同社はこれまで「元部長代理を含め８人」と説明してきたが、そのほかに３０１人が接続できる状況だったと訂正。元部長代理はこの３０１人のうちのだれかのＩＤを使って、不正にデータベースに接続したという。(YOMIURI ONLINE 2009/04/17)

http://mainichi.jp/select/biz/news/20090418ddm041040165000c.html
　同社によると、元部長代理は、営業担当の社員らがデータベースを利用する場合、操作手順を説明したり、システムトラブルを解決する支援業務を担当していた。このため元部長代理ら支援担当の社員は、他の社員のＩＤでデータベースに接続することもあったという。同社はこれまで、社内データベースに接続する権限を持つ社員は元部長代理ら８人と説明していたが、実際には３０９人に上ることも明らかにした。(毎日.jp 2009/04/18)

http://sankei.jp.msn.com/affairs/crime/090417/crm0904172327043-n1.htm
　会見では、元部長代理（４４）＝懲戒解雇＝と同様に顧客情報にアクセスできる権限を持っていた社員が、当初の会見で明らかにした８人以外に４８人いたことが明らかになった。しかし、その後３０１人に訂正されるなど説明が迷走。元部長代理が部下に顧客情報をＣＤに焼かせた際、正当な業務であれば必要となる指示書を出したかをめぐっても回答が二転三転し、会見後に出ていなかったことが明らかになるなど、社内調査の信頼性が揺らぐ場面もみられた。(産経ニュース 2009/04/17)

-----------------------

顧客情報にアクセスできる権限を持った社員が３０９人だったということだが、この“顧客情報にアクセスできる権限”というのが不明確であるために３０９人である、ということになったのであろう。

通常であれば、自分の担当テリトリーの顧客以外はアクセスできない様になっている筈である。　例えば横浜地区の営業責任者であれば、埼玉地区の顧客情報にアクセスする必要はない。　前回報道で推測する三菱ＵＦＪ証券のセキュリティ管理体制から考えれば、三菱ＵＦＪ証券では、このようにきめ細かいアクセス権限管理は当然されているだろう。

従って３０９人の社員全員が全ての顧客情報１５０万件にアクセスできるという状態であるということは考えにくい。　恐らくは全情報にアクセスできるのは、当初発表どおり８人なのであろう。
同社社内は、蜂の巣を突付いた様な状態で、経営陣からの“問い詰め”に情報システム担当があたふたと説明し、１５０万件にアクセスできるのは限定された人だけなのに、３０９人がアクセスできるという誤解を招いたまま記者会見を行った、というところではないだろうか？

実際には、通常の情報システムにおいて、前顧客１５０万件の情報を一括コピーできる機能が実装されているとは考えにくく、特定の条件で検索・参照してそれをレポートできる程度の権限を持つ人が３０１人ということで、職務上全データベースにアクセスできる権限を有している人が８名ということだったのだろう。
しかし、この８名にしても、１５０万件という膨大な量のデータを一括コピーすることが業務上必要なケースはまずないだろうし、この一括コピーをするために、元部長代理は種々の手続きを掻い潜ってＣＤにコピーし持ち出し、媒体は返却したということではないだろうか？

過去に例がないほどの全顧客１５０万件の情報持ち出し事件ということで、大騒ぎになっているのは理解できるが、パニック状態での外部への説明や今後の対策を行っているようでは、信用回復には時間がかかるであろう。

あくまで限定された開示情報からの推測ではあるが、一番問題視すべき点は、全顧客情報１５０万件を１人のアクセス権限で持ち出すことができたことであり、権限を分散することを徹底するという対策が必要なのではないだろうか？