三菱UFJ証券:全顧客情報150万件をコピーできる??
三菱UFJ証券の顧客情報漏えい事件について、4月17日に同社が記者会見を行った。記者会見の内容が報道されているが、どうも内容が腑に落ちない。
------------------------
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm
顧客データベースに接続できる権限を持つ社員について、同社はこれまで「元部長代理を含め8人」と説明してきたが、そのほかに301人が接続できる状況だったと訂正。元部長代理はこの301人のうちのだれかのIDを使って、不正にデータベースに接続したという。(YOMIURI ONLINE 2009/04/17)
http://mainichi.jp/select/biz/news/20090418ddm041040165000c.html
同社によると、元部長代理は、営業担当の社員らがデータベースを利用する場合、操作手順を説明したり、システムトラブルを解決する支援業務を担当していた。このため元部長代理ら支援担当の社員は、他の社員のIDでデータベースに接続することもあったという。同社はこれまで、社内データベースに接続する権限を持つ社員は元部長代理ら8人と説明していたが、実際には309人に上ることも明らかにした。(毎日.jp 2009/04/18)
http://sankei.jp.msn.com/affairs/crime/090417/crm0904172327043-n1.htm
会見では、元部長代理(44)=懲戒解雇=と同様に顧客情報にアクセスできる権限を持っていた社員が、当初の会見で明らかにした8人以外に48人いたことが明らかになった。しかし、その後301人に訂正されるなど説明が迷走。元部長代理が部下に顧客情報をCDに焼かせた際、正当な業務であれば必要となる指示書を出したかをめぐっても回答が二転三転し、会見後に出ていなかったことが明らかになるなど、社内調査の信頼性が揺らぐ場面もみられた。(産経ニュース 2009/04/17)
-----------------------
顧客情報にアクセスできる権限を持った社員が309人だったということだが、この“顧客情報にアクセスできる権限”というのが不明確であるために309人である、ということになったのであろう。
通常であれば、自分の担当テリトリーの顧客以外はアクセスできない様になっている筈である。 例えば横浜地区の営業責任者であれば、埼玉地区の顧客情報にアクセスする必要はない。 前回報道で推測する三菱UFJ証券のセキュリティ管理体制から考えれば、三菱UFJ証券では、このようにきめ細かいアクセス権限管理は当然されているだろう。
従って309人の社員全員が全ての顧客情報150万件にアクセスできるという状態であるということは考えにくい。 恐らくは全情報にアクセスできるのは、当初発表どおり8人なのであろう。
同社社内は、蜂の巣を突付いた様な状態で、経営陣からの“問い詰め”に情報システム担当があたふたと説明し、150万件にアクセスできるのは限定された人だけなのに、309人がアクセスできるという誤解を招いたまま記者会見を行った、というところではないだろうか?
実際には、通常の情報システムにおいて、前顧客150万件の情報を一括コピーできる機能が実装されているとは考えにくく、特定の条件で検索・参照してそれをレポートできる程度の権限を持つ人が301人ということで、職務上全データベースにアクセスできる権限を有している人が8名ということだったのだろう。
しかし、この8名にしても、150万件という膨大な量のデータを一括コピーすることが業務上必要なケースはまずないだろうし、この一括コピーをするために、元部長代理は種々の手続きを掻い潜ってCDにコピーし持ち出し、媒体は返却したということではないだろうか?
過去に例がないほどの全顧客150万件の情報持ち出し事件ということで、大騒ぎになっているのは理解できるが、パニック状態での外部への説明や今後の対策を行っているようでは、信用回復には時間がかかるであろう。
あくまで限定された開示情報からの推測ではあるが、一番問題視すべき点は、全顧客情報150万件を1人のアクセス権限で持ち出すことができたことであり、権限を分散することを徹底するという対策が必要なのではないだろうか?