ホーム > 会社情報 > お客さま情報流出における弊社対応について > 業務改善報告書(概要)

業務改善報告書(概要)

平成21年7月2日

三菱UFJ証券株式会社
取締役社長 秋草 史幸

今般のお客さま情報の流出は、金融業界に対する信頼を著しく失墜させたものであり、本来お客さまの情報を守るべき立場の社員が、このような事件を起こしたことはきわめて遺憾であります。
この事実を厳粛に受け止め深く反省するとともに、お詫び申し上げます。
顧客情報は、金融業者にとってその基礎を成すものであり、個人情報保護の観点からもその適切な管理が重要であります。弊社としては、以下の抜本的な再発防止策を実行に移していくことで、信頼の回復に努めてまいる所存です。
また、今後も、多大なご迷惑をおかけしたお客さまへの対応を最優先課題として考え、全社を挙げて取り組んでまいります。

1.情報が流出した顧客等の保護や被害拡大の防止に向けて必要な措置の実施

(1)社内体制について

弊社は、お客さまから、不動産業者等の勧誘が頻繁に入るようになったとの相談を受け、お客さま情報が外部に流出している可能性が高いと判断し、3月30日に「緊急対策本部」を立ち上げ、「お客さま情報の流出の可能性について」を対外公表し、本件に関するお客さまの「お問い合わせ窓口」を開設いたしました。
その後の調査により、お客さま情報の流出が判明し、4月8日に対外公表および記者会見を行いました。
4月14日、取締役社長を対策本部長とする「お客さま情報流出対策本部」(以下、対策本部)に体制を強化し、4月17日に対外公表いたしました。
4月21日、調査・評価のプロセスを明確にするため、対策本部内に江尻隆弁護士を委員長、 國廣正弁護士および土居範久中央大学理工学部教授を委員とする「調査委員会」を設置いたしました。「調査委員会」は、事実関係を徹底的に調査し、第三者の視点から評価・提言を纏めた「調査報告書」を作成し、5月15日に対策本部長へその内容を報告いたしました。

(2)お客さまへの対応

1.

情報が流出したお客さまへのお詫びのご連絡

情報が流出した約5万名のお客さまについて、営業担当者が個別の電話や訪問によりお詫びと事情説明をいたしました。
また、情報が流出したお客さまに対して、4月9日にはお詫びの手紙を、5月8日から5月15日にかけては当社の取組状況についてのお手紙を送付しております。

2.

お問い合わせ窓口・弊社ホームページ内専用ページの設置

3月30日、今回の情報流出に関するお客さまからのお問い合わせや相談等を承る専用の「お問い合わせ窓口」を設置し、3月31日からその運用を開始いたしました。
4月30日には、弊社ホームページにお客さま情報の流出に係る専用ページを設け、それまでの弊社の対応状況を掲載いたしました。
また、6月11日には、ホームページに「弊社に寄せられた勧誘の事例」を掲載し、執拗な勧誘に対する注意事項を掲載するとともに、国民生活センターのホームページを紹介いたしました。

(3)顧客情報を売却した名簿業者および勧誘業者への対応

1.

業者に対する警告文の送付、および当該名簿を利用した勧誘中止の要請

弊社のお客さま情報の流出が確認された名簿業者および転売先の勧誘業者について、当社代理人弁護士から、名簿の利用中止と名簿の転売、転用等を行わないよう警告文を送付しています。あわせて、名簿の回収を行うとともに、今後利用しないとの誓約を取り付ける対応を進めております。

2.

執拗な勧誘に対する対応

お客さまから弁護士への委任をいただける方については、お客さまの代理人として、弁護士から当該業者に対して勧誘行為を即時に中止するよう警告し、今後、業者からの一切の連絡は弁護士宛とするよう個別に要請しています。

3.

業者に対する法的対応

上記対応によっても勧誘が止まらない執拗な勧誘業者に対しては、法的手段として名簿の使用中止等の仮処分申請を行っております。

(4)お客さまへの「お詫びのしるし」

事態の重大性、お客さまの経済面や精神面での被害、当社の果たすべき社会的責任などを総合的に考慮し、名簿業者に情報が流出したお客さまに対し、「お詫びのしるし」として、1万円相当のギフト券を6月下旬に送付いたしました。

(5)今後の対応について

弊社は、今後もお問い合わせ窓口を継続するとともに、当該名簿を利用した勧誘業者に対し、勧誘中止の要請、警告文の送付、執拗な勧誘業者に対しては法的手段を含めた対応等、今後ともお客さまへの対応を最優先課題として全社を挙げて取り組んでまいります。
また、ホームページにおきまして、今後もお客さま情報の流出に係る弊社の対応状況等をご報告してまいります。

2.経営陣を含む責任の所在の明確化

大量のお客さま情報等を流出させ、お客さまに多大なご迷惑をおかけした事案の重大性に鑑み、責任の所在を明確化するため、役員以下、関係者の社内処分を実施いたしました。

3.再発防止策

(1)経営管理態勢の改善について

弊社は、今回の事案を踏まえ、また、調査委員会からの提言を真摯に受けとめ、リスク管理態勢の実効性を確保する観点から、経営管理態勢の改善に取り組んでまいります。

1.

システムリスク評価への対応強化

経営陣の情報セキュリティ施策に対する実質的なコミットメントをさらに強化するため、「事務リスク・情報セキュリティ委員会」*1をシステムリスク評価に基づく施策の検討・議論の場(リスクベースアプローチの強化)とし、より実効性の高い合理的なリスク管理を一段とすすめてまいります。

  • *1「事務リスク・情報セキュリティ委員会」は、「情報資産リスク管理規程」に基づき、取締役会に準じるリスク管理会議の諮問機関として設置されております。
2.

情報セキュリティ・ガバナンスの強化

情報セキュリティ管理の統括機能を一元化するため、7月1日付で、システム部が所管していた情報システムのセキュリティ管理を情報セキュリティ管理部へ移管し、システム部門に対する監視・牽制機能をもたせました。

3.

システム部署への監査機能強化

内部監査部システム監査室の情報セキュリティに関する監査プログラムを見直すとともに、監査スキル等の向上を図り、より深度のある内部監査の実施に注力してまいります。

(2)情報セキュリティ管理態勢の充実・強化について

1.

部門間の牽制機能の確保

上記(1)-2の機能強化に加え、7月1日付でシステム部を改組し、開発、運用、監視機能を分離して、システム部門内における監視体制を明確にいたしました。

2.

外部委託先を含めた各種手続きの運用実態の検証と、その実効性の確保

弊社では、個人情報の適切な保護に関する方針として「個人情報保護方針」を、情報セキュリティに係る基本規程として「情報資産リスク管理規程」を定めております。また、「情報管理手続」、「個人情報保護手続」、「情報システム管理手続」等を定めております。
しかしながら、外部委託先が運用しているオペレータルームでは、弊社手続きが徹底されておらず、手続き自体にも不十分な点がありました。
そのため、外部委託先を含めた各種手続きの運用実態の実効性の確保を図るため、オペレータルーム専用の運用管理手続きを定め、全オペレータにその内容を徹底いたしました。

3.

不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への管理・牽制の強化

行為者は、顧客情報等の検索ツールの開発・運用等に従事しておりましたが、個人顧客情報の不正持出しを可能とする一連の権限等が分断されておらず、行為者への管理・牽制も十分ではありませんでした。
このため、改善策として、7月1日付でシステム部を「システム統括部」と「システム推進部」とに分割・再編し、運用部門として独立させた「運用管理室」をシステム推進部の内室として新設し、開発、運用に係る権限等の分断を図りました。
また、ID・パスワード管理の強化、顧客情報検索のログデータの監視、顧客情報へのアクセスログの検証、防犯カメラの増設等による牽制機能の強化を図りました。

4.

不正行為の隠蔽の防止

行為者は、他人のIDを使用するなど不正を隠蔽する行為を行いました。これは利用権限の抹消が漏れていたことが背景にあったため、抹消確認の手続きを強化いたしました。
また同時に、顧客情報の検索が可能なシステムについてのログデータの監視等を強化いたしました。

(3)人事管理等の改善

1.

職員に対する倫理教育等の徹底

全職員に対して職業倫理観を徹底するために、あらゆる機会をとらえて、経営トップからのメッセージを発信し、不正に対する当社経営陣の厳格な姿勢を明確に打ち出し、職員の意識向上を図ってまいります。

2.

マネジメント研修の実施

管理者に対し、労務管理から部下の動態観察等まで、広い範囲の研修を実施します。

3.

全職員向け研修の実施

「不正防止」をテーマとし、各部店の特性に基づいた研修を実施します。

4.

システム関係職員に対する研修の実施

システム部署の特性に応じた研修を実施します。

5.

外部委託会社職員に対する研修の実施

システム関係職員に対する研修と同様の研修及び職業倫理と情報セキュリティに関する研修を定期的(半期毎)に実施いたします。

(4)情報セキュリティ管理等のあり方に関する検証

1.

内部監査部システム監査室のシステム部署への監査強化

システム監査室の情報セキュリティに関する監査プログラムを見直すとともに実地監査時に外部専門家を監査メンバーに加えるなどにより、システム監査スキル等の向上についても一層注力してまいります。

2.

再発防止策のモニタリングの実施

情報セキュリティ管理部は、再発防止策の有効性の検証を実施し、その進捗状況を9月までは月次で、それ以降は四半期毎に経営会議へ報告いたします。
また、内部監査部および同システム監査室は、上記プロセスを本年度下期中に監査します。
さらに、第三者による情報セキュリティ管理態勢に関する外部監査を、来年3月までに実施いたします。

以上