ホーム > 会社情報 > お客さま情報流出における弊社対応について > 調査報告書(抜粋)

調査報告書(抜粋)

本書は、当調査委員会が5月15日に会社に提出した「調査報告書」から、本件当時の当社の安全管理措置と再発防止策の提言に関する部分を抜粋したものである。

平成21年7月2日

三菱UFJ証券株式会社
お客さま情報流出対策本部
調査委員会
委員長 江尻 隆
委員 國廣 正
委員 土居 範久

調査委員会の任務について

【調査委員会の設置に至る経緯】

当社では、当社元社員(以下、「行為者」という)が当社顧客情報等を平成21年1月から3月にかけて不正に取得して社外に流出させた件(以下、「本件」という)の検証、お客さま対応及び抜本的な再発防止策を策定する場として、4月14日、「お客さま情報流出対策本部」(以下、「対策本部」という)を設置した。
対策本部は、取締役社長が務める対策本部長の下、専務取締役企画管理本部長及び常務取締役業務管理本部長の両名を副本部長として配置し、その他の社内取締役6名を構成員とし、外部の専門家として江尻隆弁護士、國廣正弁護士、土居範久中央大学理工学部教授をメンバーに加えた。
当社は4月17日のニュースリリースで、対策本部には外部の弁護士(江尻弁護士、國廣弁護士)及び情報セキュリティの専門家(土居教授)による多様な視点からの提言を求める旨を公表していたが、その後、社内外での協議を経て、4月21日、外部の専門家等による調査・評価のプロセスを明確にするため、江尻弁護士を委員長、國廣弁護士、土居教授を委員とする「調査委員会」を対策本部内に設置した。
調査委員会は対策本部の任務のうち、(1)事実調査、(2)原因究明、(3)再発防止策の提言を行うこととされた。
調査委員会の下には、調査チーム(國廣委員が事務局長となり、株式会社KPMG FAS、調査担当弁護士4名により構成される)を置き、調査実務を担当した。

【調査委員会の任務と位置づけ】

調査委員会の任務は、専門家の視点及び当社の意思にとらわれない独立した外部の視点*1から、事実関係を徹底的に調査し、その原因を当社の組織的要因にまで遡って究明し、原因に対応した再発防止策を提言する「調査報告書」を対策本部長に提出することである。
対策本部長は、調査報告書の内容を踏まえて、社内で策定した再発防止策を見直し、最終的な再発防止策を制定することになっている。

  • *1江尻弁護士、國廣弁護士は4月21日以前に対策本部へのアドバイスを行っているので、本調査委員会は純粋な意味での第三者委員会ではない。しかし、調査委員会は、会社の意思に左右されない第三者的立場から独立して調査を行うとともに、原因究明及び再発防止策の提言にあたっては、会社(特に経営層)に対する厳しい姿勢の維持に努めた。

ページ先頭へ

当社における安全管理措置

1.組織的安全管理措置

本件当時の当社の組織的安全管理措置は次のようなものであった。

(1)体制

当社においては、情報セキュリティ管理の総合的な運営のために「事務リスク・情報セキュリティ委員会」*2を設置している。
また、「情報セキュリティ管理室」が当社の情報セキュリティ管理の総括、社内体制の整備、部門・部室店のモニタリング・指導・監督、事故・規定違反発生時の是正指導等を行っているが、情報セキュリティ管理のうち情報システムの管理は、情報セキュリティ管理室からシステム部に委託されている(「情報資産リスク管理規程」第6条4項但書)。その結果、システム部が情報セキュリティ管理室のチェックを受けるという体制にはなっていなかった。
システム部においては、情報セキュリティ責任者であるシステム部長が各課長を情報資産利用管理者として任命し、情報セキュリティ責任者のもと、企画課内に専任担当者4名、兼務担当者2名を配置し、全社に対する電子メールの送受信にかかるフィルタリング結果、インターネットの利用状況、社員のパソコン操作の記録やプリントログなどのモニタリングを行っていた。
システム部自身に対するモニタリングとしては、株式の受発注等を行う基幹系システムの一部については、高権限なIDが不正に使用されていないか、本番システム環境で不正な作業が行われていないか等のモニタリングは行われていた。しかし、データ検索ツールは、情報系システムとして位置付けられており、当該基幹系システムと異なりモニタリング(システム部員が開発・運用の目的で行うアクセスへのモニタリング)の対象にされていなかった。これは、障害発生時の復旧の緊急性や利用者への影響範囲などから、基幹系システムについてモニタリングを行う必要性がより高いものと考えられていた反面、データ検索ツールについては顧客情報を抽出する機能等に障害が発生しても利用者への影響範囲が小さいと考えられていたため、アクセスログの収集のみが実施されるにとどまり、基幹系システムで行われていたようなモニタリング(アクセスログとアクセス申請書の突合など)は実施されていなかった。この点、データ検索ツールへのモニタリングの実施の必要性について、顧客情報漏洩リスクの観点からの検討はされていなかった。
また、システム部は8つの課で構成されており、開発・運用・監視という3つの機能・業務におおむねは分離されていた。しかし、本件当時、データ検索ツールを含めたいくつかのシステムにおいては、同一の社員が開発と運用の業務を兼務していたことなどにより、機能・業務別の相互牽制が十分ではなかった。
なお、システム部では専門性を重視したため、部内及び他部とのローテーションがほとんどなく、担当者の固定化やノウハウの属人化が常態化していたという状況もある。

  • *2事務リスク・情報セキュリティ委員会は、「情報資産リスク管理規程」に基づき、リスク管理会議の諮問機関として、設置されている。従前「事務リスク管理委員会」と「情報セキュリティ委員会」はそれぞれ独立した委員会であったが、平成20年10月に、事務リスク管理、情報資産リスク管理それぞれの課題等をより広い視点から審議するため、「事務リスク・情報セキュリティ委員会」として統合された。

(2)規定・手続

1.

ルール体系

当社では、個人情報の適切な保護に関する方針として、取締役会が「個人情報保護方針」を、リスク管理会議が情報セキュリティに係る基本規程として「情報資産リスク管理規程」を定めている。
また、情報のセキュリティ管理を統括する情報セキュリティ管理室が「情報管理手続」及び「個人情報保護手続」を、情報システムのセキュリティ管理を統括するシステム部が「情報システム管理手続」等のルール*3を定めている。
なお、「情報資産リスク管理規程」においては、情報資産リスクを評価するため、脅威に対する脆弱性を定性的に把握することが定められている。

  • *3システム部内のシステム開発に係る手続として、「システムの開発・運用に関する職務と体制」、「システム開発管理手続」、「システム運用管理手続」がある。
2.

情報の利用、保管及び持出しに関するルール内容

当社では、情報の利用、保管及び持出しについては、「情報管理手続」の中に情報の取扱いの基本原則として、次のような禁止事項が列挙されている。

  • 情報は、業務に必要な目的でのみ利用・加工する。私的利用は禁止する。
  • 情報は、情報の重要度に応じた場所・方法で保管する。自宅等での私的保管は禁止する。
  • 情報の持出しは、情報が含まれる媒体、持出しの形態を問わず、業務に必要な内容に限定する。外部記憶媒体、ノートPCは、原則使用を禁止する。

また、情報及び情報システムの利用(アクセス)権限管理や部室店内の情報取扱いについてのモニタリング、研修・指導については、「情報管理手続」において、部室店長の役割として定めている。
顧客情報の社外持出し手続きとしては、部室店長による承認を義務付け、顧客情報を含む文書は「情報管理手続」に、外部記憶媒体やノートPCは「情報システム管理手続」に申請から承認に至るまでの手順を定め、証跡としての帳票とともにルール化している。

(3)台帳

当社では、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-4が定める「個人データの取扱状況を確認できる手段」として、各部室店が「個人データ管理台帳」を作成している。
「個人データ管理台帳」には、同実務指針が指定する取得項目、利用目的、保管場所・保管方法・保管期限、管理部署、アクセス制御の状況に加えて、機微情報等の情報内容や件数に応じた重要度が記載されており、自部室店が管理する個人データをその重要度とともに一覧把握することができる。
システム部では、全社共通の個人データ管理台帳のほかに、「システム資産管理表」と、これをもとに作成した「個人データ管理台帳(個人データ保有システム一覧)」*4を策定している。

  • *4「システム資産管理表」は、システム名称、役割、認証、システム基盤などの基本的な情報を記載したシステムの基本台帳である。「個人データ管理台帳(システム用)」には、個人情報の有無、アクセス制限やIDの管理などの情報を記載している。これらは四半期ごとに更新を行い、常に情報システムの基礎情報を把握できるようにしている。

(4)点検、内部監査態勢

当社の顧客情報の取扱状況の点検体制としては、情報セキュリティ管理室と事務統括部が連携し、毎月全社的に実施する自主点検の項目に、情報セキュリティに関する項目を含めている。点検項目は、情報漏洩・紛失事故の発生原因となっている事項を勘案しつつ、半期に一度見直していた。
システム部では、上記自主点検に加え金融商品取引法監査対応として、主に「システム開発管理手続」、「システム運用管理手続」の遵守状況の自己点検を、毎年行っていた。
また、ホームページ及びオンライントレードのインターネットとの接続については、第三者機関による、外部からの侵入テストを実施し、その可能性について検証していた。
内部監査部における顧客情報管理に係る内部監査についていえば、その目的は、まず本部部署、特に統括的役割を担う部署に対しては、制定した規程やルール・手続きが有効な顧客情報管理に資する妥当なものであるかを重点的に検証することであった。具体的には、本部部署に関しては「情報(特に個人情報)管理態勢の整備・運用状況」を重要監査項目として、監査プログラムに盛り込み、不備の検出、その改善のための必要な提案、その改善状況のフォローアップを行うというものであった。
 内部監査部は、内室としてシステム監査室を設置している。FISCガイドラインに準拠した監査プログラムの中には「情報システムリスクの管理」、「情報セキュリティ」が含まれており、システム監査室は、システム部に対しては、ほぼ毎年1回監査している。

(5)漏洩事案対応体制

当社では、顧客情報の漏洩事案対応体制として、個人情報に限らず顧客情報や社内の非公開情報の漏洩事案が発覚した場合は、直ちに発生部署の情報セキュリティ責任者である部室店長に報告し、発生部署より所属本部・グループの企画担当部署、及び情報セキュリティ管理室に報告することを「情報管理手続」に定めている。
発覚した事故事案は、発生部署が、所属本部・グループの企画担当部署の支援を得ながら、事実関係の調査、対象物の早期回収・廃棄、お客さま対応に加えて、発生原因の究明と再発防止策の策定を行うこととなっている。
また、個人顧客情報を含む事故等の一定水準以上の事故事案*5については、情報セキュリティ管理室より情報セキュリティ統括責任者に報告するとともに、毎月の発生分を翌月の経営会議・取締役会に報告している。四半期ごとに、情報セキュリティ委員会にも、事故の発生状況を報告している。

  • *5漏洩・紛失情報の質や量、当局報告の要否等を基準として、事故事案をスコアリング評価している。一定水準以上の事故事案とは、スコアリングが14ポイント以上となった当社過失による事案を指す。

2.技術的安全管理措置

(1)利用者の識別及び認証

情報システムへのアクセスは、ID管理及びパスワード管理を基本原則とし、IDは個人単位で付与され、IDの共用や他人のIDの利用は禁止されている。
当社システムは、利用者の識別及び認証が可能で、顧客情報を有するシステムにおいてはパスワードの有効期限管理、暗号化がなされている。 システム部内においては、一般のユーザーのIDの他、本番用端末室からシステム保守を行う者が使用するID(開発者用ID)を保有している。各システム単位で、開発者用ID、パスワードが管理され、利用者の識別と認証を実施している。

(2)顧客情報管理区分の設定及びアクセス制御

当社は、基幹系システムや営業支援システムにおいて、本社部門の一部を除き、他部室店の情報に直接アクセスすることはできない仕組みとなっている。
インターネットトレードシステムなどの外部とインターネット経由で接続されるシステムについては、システム的な防御壁や侵入検知システムを設置し、侵入監視をしている。
外部とデータ授受を行うシステムについては専用線で接続する仕組みとなっており、専用線が無い場合は通信相手を認証する方法によって不正アクセスされない仕組みを構築している。

(3)アクセス権限の管理

当社の端末を利用するためのIDは入社時に各自に付与されるが、顧客データを取り扱うシステムのIDについては、各部店長の承認を得たうえでシステム部長が付与する運用とし、権限保有者の人数を絞っている。
システム部で行うユーザー支援業務では、担当者毎に利用できるシステムと、その機能を定めて制限を設けている。
開発者用IDはシステム毎に設定され、各課で管理しているが、平成20年のシステムリスク評価 において、開発用IDの管理やアクセスログの事後確認が不十分であることが明らかになり、「開発用IDの管理に検討の余地あり、内部からの不正アクセスの可能性がある」と認識していた。

(4)漏洩・き損防止策

1.

当社では、業務上の理由で外部記憶媒体の利用を必要とする端末を除き、すべての端末について、予防的統制として外部記憶媒体の読込み、書出しができないよう閉塞している。
業務上の理由で外部記憶媒体の利用を必要とする端末については、外部記録媒体へのデータ書き出しと媒体の持ち出しが厳しく制限され、また外部記憶媒体へのデータ書出しについてログによるモニタリングが行われている。
しかし、本件行為の際には、必要な申請手続が踏まれていなかった。

2.

社外宛の電子メールについては、所属部店長に自動的にBCC(ブラインドカーボンコピー)を送信することで、牽制を行っている。さらに、送受信するメールについては、メールフィルタリングシステムにより不正データのチェックがなされ、システム部では、その結果のログをモニタリングしている。
また、監視ソフトによって、添付ファイルのチェックを行うとともに、メール本文についても一定水準の監視がなされている。

3.

印刷についてはログのうち、部店長への確認が必要と判断したものについては、通知を行っている。

4.

システム部では上記に加え、システム開発において止むを得ず本番データを使用する場合に、顧客本人を特定できる情報を判別不能な状態にするため、当該情報をマスク化することを「システム開発管理手続」に定めている。

5.

本番用端末がある端末室への入退室は、業務上必要な者に限定して許可し、端末室の出入口にビデオカメラを設置して、入退室者を監視、記録している。

(5)アクセスの記録及び分析

1.

当社では、全端末の操作記録(インターネットアクセス・外部記憶媒体の作成)を取得・保存している。

2.

規定外ソフトのインストールや、規定外機器の接続、及び外部記憶媒体作成の分析調査の結果については、部室店長に通知の上、問題の有無を照会する運用を実施している。

3.

上記に加え、システム部内の高い権限を有する開発用IDの保有者については、さらに作業内容をモニタリングする仕組みが必要である。
この改善策として、昨年度からアクセスログの監視システムの準備を進め、昨年9月より一部システムについて試験導入を開始している。

3.人的安全管理措置

(1)コンプライアンスに関する取り組みの概要

1.

「コンプライアンス・マニュアル」等の制定

イ.

「コンプライアンス・マニュアル」

当社においては、コンプライアンス基本方針や倫理綱領、行動規範等を定めたコンプライアンス・マニュアルを制定している。
同マニュアルは、コンプライアンスに関する当社としての方針等を示したものであるが、倫理綱領においては「信頼の確立」が謳われ、それを受ける形で、行動規範の「守秘義務・情報管理の徹底」として、「業務を通じて知ったお客さまの情報については、正当な理由なくご本人の同意なく他に開示しません。お客さまの情報は、厳格に取扱います。会社の情報資産についても、社内規則を厳格に遵守します」と定めている。また、「三菱UFJ証券 行為規範」においては、「個人情報の保護」を独立の項目として定めており、それらを踏まえて、「個人情報保護方針」も記載されている。
同マニュアルについては配布した全社員に対して、読了して内容の確認を行うことを求めており、社員から、同マニュアルを読了して内容を理解し、社内規則、手続等を遵守する旨の確認書の提出を受ける運用を行っている。
なお、本件行為者も、平成17年10月に、上記確認書を当社に対して提出している。

ロ.

「コンプライアンス・ガイド」

当社においては、上記1.の「コンプライアンス・マニュアル」を踏まえ、コンプライアンスを実践するための具体的な手引書として、「コンプライアンス・ガイド」を制定している。
同ガイドは、当社役職員の行動に対する判断根拠や基準について、社内規程を含めた具体的なルール、業務上の留意点及び実際の手続等を行動・業務ごとにまとめるという形式がとられている。本件に関するものとしては、「情報管理」が独立した大項目として定められ、その中の「情報セキュリティ」として、社員の守秘義務や、情報セキュリティ管理と個人情報保護などについての留意点、社内手続等が記載されている。
2.

部店コンプライアンス研修の実施

業務管理本部コンプライアンス統括部が主管し、全社共通の研修テーマを定めて、部店において、毎月、全社員及び派遣社員を対象としたコンプライアンス研修が実施されている。なお、部店コンプライアンス研修自体はコンプライアンス統括部の主管であるが、個別の研修テーマによっては研修資料等を担当部署が作成(例えば、情報セキュリティがテーマであれば、情報セキュリティ管理室が資料等を作成)し、コンプライアンス統括部が取りまとめて実施要領等とともに各部店に通達するという運用がとられていた。また、部店における具体的な実施日時・方法などについては、原則として、部店に委ねる運用とされており、各部店が提出する実施状況報告書によりコンプライアンス統括部が実施状況を確認している。
部店コンプライアンス研修においては、毎年4月は、上記①の「コンプライアンス・マニュアル」「コンプライアンス・ガイド」を研修テーマとして、これらについての周知、確認を行うこととされ、また、半期に一度は情報セキュリティをテーマとする研修が行われている。
そして、半期に一度は、毎月実施している部店コンプライアンス研修の効果確認を目的として、eラーニングによるコンプライアンステスト(効果確認テスト・個人情報保護法関連テスト)を実施することとされている。

(2)情報セキュリティに関する教育、研修等

1.

部店コンプライアンス研修

イ.

情報セキュリティをテーマとした研修

上記のとおり、部店コンプライアンス研修では、半期に一度、情報セキュリティをテーマとした研修が実施された。これは、個人情報保護法等の理解を深めるとともに、当社で過去に発生した事故事例を参考にして、部店における情報の取扱いを確認し、日々の業務に反映することを目的とするものであった。具体的な内容としては、当社における事故の発生状況やその対応、個人情報保護方針、当社の情報セキュリティルールなどについての資料を用いた研修が実施されている。
情報セキュリティをテーマとした研修は、当社が三菱UFJ証券として統合された平成17年10月以降、現在に至るまで、18年2月・8月、19年2月・7月、20年2月・8月、21年1月の計7回が実施された。また、平成20年2月以降については、後記ロ.の情報セキュリティ強化月間と同時期に連携して実施されている。

ロ.

コンプライアンステスト

上記1.のとおり、部店コンプライアンス研修の一環として、半期に一度、コンプライアンステストが実施されていた。コンプライアンステストとしては、原則として全社員を対象とする効果確認テスト(計50問)と、外務員登録をしていない派遣社員等を対象とする個人情報保護法関連テスト(平成20年9月までは計25問。21年2月は20問)の2種類が実施されていた。効果確認テストの内容には、個人情報保護や情報セキュリティルールに関する設問も盛り込まれる形となっている。 なお、平成20年3月・9月、21年2月に実施された効果確認テストについての行為者の結果は、それぞれ100点中94点(3問不正解)、100点、96点(2問不正解)であったが、個人情報保護や情報セキュリティルールに関する項目について不正解はなかった。
2.

情報セキュリティ強化月間の実施

情報セキュリティに対する全社的な意識の向上と、事務の正確な履行を推進することを目的として、平成19年9月以降、半期に一度、全社員及び派遣社員を対象に情報セキュリティ強化月間が実施された。具体的な内容としては、eラーニングによる情報セキュリティ研修及び情報セキュリティセルフチェック、全店放送による情報の取扱いに係るポイント解説、ビデオ教材の視聴などが実施されている。
情報セキュリティ強化月間は、現在に至るまで、平成19年9月、20年2月・8月、21年1月の計4回が実施された。また、上記のとおり、平成20年2月以降については、上記1.の情報セキュリティをテーマとした部店コンプライアンス研修と同時期に、連携して実施されている。
なお、行為者は、情報セキュリティ強化月間の一環として平成20年2月・8月に実施された情報セキュリティルール等についてのセルフチェックにおいて、全項目について理解している旨回答している。

3.

「誓約書」等の提出

当社においては、人事部が社員から、「誓約書」及び「情報セキュリティ管理に係わる確認書」の提出を受けることとされている。
「誓約書」の内容としては、当社の機密に関することは漏洩しないこと、業務上知り得た情報については社内規程等に従い機密を厳守することなどが盛り込まれている。
行為者は、平成2年4月に、当時のユニバーサル証券株式会社に対して上記と同趣旨の「誓約書」を提出している。
また、「情報セキュリティ管理に係わる確認書」の内容としては、情報セキュリティ管理及び個人情報保護に関する規程等の理解と遵守や守秘義務、守秘情報の業務外利用の禁止などを確認するものである。
行為者は、平成17年3月に当時のUFJつばさ証券株式会社に対して上記と同趣旨の「情報管理に係わる確認書及び同意書」を提出している。

4.

階層別研修等の実施

新入社員に対しては、人事部人材育成室が主催する新入社員導入研修において情報セキュリティ管理室による情報セキュリティに関する講義が実施されるとともに、別途、情報セキュリティに関するeラーニング研修を受講することが義務付けられている。
そして、人事部人材育成室が主催する新任部店長研修、新任部長代理研修、新任課長代理研修、及び、コンプライアンス統括部が主催する部店の内部管理責任者会議においても、情報セキュリティ管理室による情報セキュリティに関する講義が実施されている。
また、中途社員及び一部の派遣社員に対しては、入社時確認研修における情報セキュリティ研修として、情報管理に関するeラーニングの受講が義務付けられている。

5.

システム関連の外部委託会社社員等への研修等

システム部に常駐する外部委託会社社員に対しては、平成20年12月8日から平成21年1月27日までの間に、順次、情報セキュリティの重要性や、セキュリティカードの運用方法、パソコン等の利用ルール、情報の取扱いルール等についての説明会を実施していた。他方、サーバールームに常駐するオペレータ等の外部委託会社社員に対しては、このような研修は行われなかった。
システム関連の外部委託会社社員については、当社社員とは異なり、継続的、体系的な教育・研修等は実施されていなかった。

6.

月報の発行及び研修ツールの作成等

イ.

情報セキュリティ月報の発行

情報漏洩等の事例及び発生原因の分析、防止のための具体策を開示し、注意喚起、再発防止の社内周知を行う目的で、平成18年9月より毎月、情報セキュリティ管理室から「情報セキュリティ月報」が発行されている。
具体的な内容としては、前月の事故発生状況、情報セキュリティ関連ルールの改訂の注意喚起、前月に発生した事故などを踏まえた抑止策などのトピック、情報セキュリティ管理室に寄せられた照会事項等を踏まえて作成された情報セキュリティQ&Aなどである。

ロ.

ビデオ教材の作成

MUFGグループ共通の取組として、平成19年2月にビデオ教材をグループ各社共同で作成した。
また、情報の取扱いに関する基本的な事項の周知、教育のために、平成19年4月より、情報セキュリティ管理室において計5本のビデオ教材を順次作成し、情報セキュリティ強化月間や研修等に使用した。
7.

重点研修の実施及び改善報告書の提出等

当社においては、短期間で複数回の事故を発生させた部店に対しては、部店の情報セキュリティ体制や意識に問題あるものとして、情報セキュリティ管理室より、重点研修の実施や改善報告書の提出を求めている。
システム部においては、平成20年9月から12月にかけて情報管理に関する4件の事故が発生していたことから、情報セキュリティ管理室よりシステム部長に対して、改善報告書の提出と重点研修の実施が求められた。そこで、平成20年11月28日付で、システム部長より情報セキュリティ管理室に対して、事故の発生原因及び改善策等を記載した改善報告書が提出された。
また、平成21年1月14日から30日にかけて、上記6.記載のMUFGグループ共同作成によるビデオ教材の視聴や、計15項目の情報セキュリティルール等についての個人意識チェックなどを内容とする重点研修が実施された。
なお、本件行為者も重点研修に参加し、ビデオ教材を視聴するとともに、個人意識チェックにおいては、全15項目についてすべて理解している旨の回答を行っている。

8.

当社における情報セキュリティに関する過去の懲戒処分等

情報流出等に関連するものとしては、平成19年4月以降、本件を除いて計4件の事案について計8名(管理責任者を含む)に対して懲戒処分がなされている。懲戒処分の内訳は、減給1名、譴責1名、戒告6名である。
また、懲戒処分に至らない事案としては、計155名について、厳重注意がなされている。
ただし、これらの事案は、社内資料を収めた鞄の紛失や顧客情報の誤廃棄などいずれも社員の過失によると評価できるものであり、本件のような社員による故意の情報漏洩事案ではない。また、平成17年10月に三菱UFJ証券株式会社として統合されて以降は、本件のような社員による故意の情報漏洩事案の発生は確認されていない。
なお、当社においては、出勤停止以上の懲戒処分となった案件について、原則として懲戒対象者の氏名や事案内容の公表を行うこととされているため、上記の情報流出等に関する懲戒処分事案については、懲戒処分に伴う措置としての社内公表などは行われていない。ただし、上記のような懲戒処分事案については、再発防止を図るために、前記の情報セキュリティ月報や研修資料などにおいて事故事例として紹介されていた。

ページ先頭へ

再発防止策

当調査委員会は、当調査委員会の調査した事実認識に基づき、次のとおり再発防止策を提言する。

 
1.

リスク管理施策における経営陣の基本姿勢についての提言(情報セキュリティ施策への実質的コミットメントの強化とリスクベースアプローチの強化)

【提言1-1:経営陣による実質的コミットメントの強化】

金融庁の「金融商品取引業者等向けの総合的な監督指針」の「Ⅲ.監督上の評価項目と諸手続(共通編)」の「Ⅲ-1 経営管理(共通編)(1)主な着眼点」には、「法令遵守等及び内部管理態勢の確立・整備」について、代表取締役及び取締役の「誠実かつ率先垂範した取り組み」(経営陣のコミットメント)を求めている。
当社の組織体制は上記の要請を満たしており、また代表取締役、取締役は情報セキュリティ委員会、コンプライアンス委員会等に積極的に出席するなど、誠実かつ率先垂範した取り組み姿勢が認められる。
しかし、問題はリスク管理の実効性、実質的機能である。情報セキュリティ委員会の運営などの実務面において経営陣の見識を十分に生かし切れていない面があり、実質的コミットメントの観点からは問題が大きい。
したがって、当社経営陣はコンプライアンス・情報セキュリティに対する実質的コミットメントを強化する必要がある*6

  • *6
  • 経営陣のコンプライアンス・情報セキュリティへのコミットメントとは、情報セキュリティ委員会、リスク管理会議等において、適正なリスク評価を行い、施策の優先度を決定する経営判断を行うことである。なお、これらの評価、判断を行うためには情報システムについての技術的事項や法令についての個別の詳細な知識を習得することが求められるわけではなく、当社のITの全体像(情報システムでの情報の管理と流れ)や法令の基本的趣旨を理解することが重要である。

【提言1-2:経営陣主導のリスクベースアプローチの強化】

当社のコンプライアンス・情報セキュリティ施策は、網羅的な全社均一対応に傾きがちであるが、このような傾向はリスク管理の実効性を弱める可能性がある。
したがって、当社経営層は、コンプライアンス・情報セキュリティ施策において、リスクベースアプローチの強化を主導し、合理的なリスク管理を進めていくべきである。
2.

情報セキュリティ・ガバナンスに関する提言

【提言2-1:情報セキュリティ管理室への情報セキュリティ統括機能の一元化】

当社においては、非システム系情報セキュリティは情報セキュリティ管理室、システム系情報セキュリティはシステム部であるとされてきたが、この結果、システム系情報セキュリティについては専門の独立部署が存在しないことになり、システム部が独立した情報セキュリティ部署による監視を受けないこととなっていた。
情報セキュリティ・ガバナンスについては、それぞれの組織実態や資源配分も踏まえ総合的に判断されるべきものであるが、当社においては、システム系情報セキュリティと非システム系情報セキュリティの二元的管理態勢を改めて、情報セキュリティ管理室を一元的な情報セキュリティの統括として位置づけるべきである。
具体的には、現在、システム部でシステム系の情報セキュリティを担当している部門をシステム部から切り離して情報セキュリティ管理室に統合することなどが検討に値するであろう。情報セキュリティの統括機能を一元化することにより、システムの専門家がシステム部の立場を離れた第三者的視点で情報セキュリティに専念する業務を行うこととなり、モニタリング等の機能も充実することが期待される。また、システム系の社員とそれ以外の社員の人事交流が図られ、双方の視野が広がるという利点もある。

【提言2-2:情報セキュリティ委員会の機能強化と運営方法の見直し】

当社は、情報セキュリティ委員会(committee)を中心にした情報セキュリティ・ガバナンスを再構築し、委員会(meeting)を経営判断に資する実質的な議論と経営判断の場にすべきである。
具体的な施策は次のとおり。

(1) 基本的事項の確認
情報セキュリティは単なる情報システムの技術的問題に止まるものではなく、リスク管理、ガバナンスに関する経営判断マターであることを各委員が確認する。

報告中心から議論中心の運用へ。

(2) 議論すべきテーマの選定
テーマを情報セキュリティ・ガバナンスに関する組織論、システム論、人材育成論など、経営層が議論すべき重要なものに絞り込む。
「リスクの評価」と「リスクに応じた最適な対応」を経営的な高い視点から議論できるテーマを選定する。

報告中心から議論中心の運営を可能にする議題選定を行う(報告事項については、重要なもの以外は書面報告とするなど)。

(3) 委員会(meeting)における議論を充実したものにする
委員会(meeting)の開催にあたっては、充実した議論に十分な時間を確保する。
外部委員を複数加え、議論の幅を拡げる*7

担当業務・権限等を勘案して、充実した議論を行うため最適な委員構成とする*8

(4) 事務局機能の充実
テーマの選定や議論の題材準備など高度の作業になるので事務局の充実は不可欠。

事務局員は、社内の関連部署から広く指名する*9

  • *7情報セキュリティ・ガバナンスの専門家、リスク管理の専門家、コンプライアンスの専門家など、当社の常識にとらわれない幅広い議論ができる専門家。
  • *8充実した議論を行うためには員数が多いことが必ずしも適切とは限らない。
  • *9情報セキュリティ管理室が事務局機能を統括することになろう。しかし、事務局員をこれに限定せず、情報セキュリティ・ガバナンスに関連する部署から広く集める必要がある。

【提言2-3:情報セキュリティ・リスク評価の高度化】

現状のシステムリスク評価は、(1)「脅威」の特定が明示的になされていないこと、(2)個別システムごとの評価であり、業務フローを通した全体での評価や個別システム間の管理レベルのばらつきを評価する視点が不十分であること、(3)加えて、マネジメント領域や組織、人的資源が評価対象となっていないことなどの点で、改善の余地がある。
情報セキュリティ・リスク評価を高度化*10するとともに、これを情報セキュリティ・ガバナンスのPDCAサイクルの起点と位置づけ、当該評価を踏まえ適切な対応策の決定、モニタリングにつなげるようなガバナンスプロセスを強化すべきである。

  • *10例えば、(1)脅威と脆弱性を明示的に関連づけること、(2)情報セキュリティに関する各種ガイドライン等を参考に、マネジメント領域や組織、人的資源も含め評価項目を網羅的にすること、(3)業務フロー単位・システム横断的な視点での俯瞰的な評価を実施することなどが必要である。
 

【提言2-4:内部監査部の機能を高めるための施策】

監査プログラム見直しの検討、内部監査部で現状進めているテーマを絞った業務単位の監査の継続推進、情報セキュリティ監査の専門家の活用等により、より深度ある内部監査を実施すべきである。
3.

組織的・技術的コントロール

【提言3-1:システム部における開発・運用・監視機能の分離を明確化する】

システム部内における機能分離が十分にできていなかったことが本件行為を容易にしたことに鑑み、システム部における開発・運用・監視機能の分離を、組織規程上明確化すべきである。また、兼務などにより分離の趣旨が損なわれるのを防ぐため、必要な人事的対応も行うべきである。

【提言3-2:高権限者に対するモニタリングと牽制】

本件を含め、他社における過去の情報流出事件では、システム開発者、管理者など、業務上正当な理由で権限を与えられており、かつシステム及び業務に精通した立場の者が犯行に及ぶケースが多い。
行為者も、データ検索ツールのサポート要員としてのアクセス権限や、各システムに高い自由度をもってアクセスすることのできる本番用端末を利用する権限を有しており、顧客データの抽出からファイル転送まで、付与されたアクセス権の範囲内でおこなっている。
したがって、高権限者に対しては、通常ユーザー以上に厳重な管理を行うと共に、モニタリングの励行により十分な牽制を働かせるべきである。

【提言3-3:利用者の識別が可能なID管理の徹底】

開発者用IDやサポート用のIDが共有されることによって、各種ログから利用者を特定することが困難になり、モニタリングによる抑止効果が半減する。
したがって、ID及びパスワードの共有は、業務上高度の必要性がある場合に限定すべきであり、その場合には厳格な管理及びモニタリングがなされるべきである。

【提言3-4:重要なシステムと出口に対するモニタリングの強化】

情報セキュリティの観点から重要なシステムを特定し、また業務の見直しによりデータの出口を絞った上で、メリハリの利いた実効性の高いモニタリングを実施すべきである。
4.

人的コントロール(教育・研修等)の見直し

【提言4-1:不正に対する不寛容の姿勢を明確に打ち出す教育・研修】

不正には厳格な対応を行う旨のトップメッセージを出すとともに、教育・研修においても不正防止の観点を強調し、不正行為は、業界及び会社の信用を大きく毀損し、回復しがたい損失を受けることを理解させる。
具体的な研修においては、法令違反行為・不正行為は必ず発見・摘発され社内的にも社会的にも制裁を受けること、会社としてもモニタリングを強化していることを理解させる。

【提言4-2:職業倫理を強化し、「なぜ」を考えさせる感銘力ある教育・研修へ】

教育・研修は、職業倫理、プロフェッショナル意識、当社社員としての誇りを高める感銘力あるものにするとともに、プリンシプル・ベースの方向性をさらに推し進め、「なぜこのルールがあるのか」というルールの趣旨・精神を理解させる方式を採用すべきである。

【提言4-3:教育・研修全体におけるリスクベースアプローチの視点の強化】

コンプライアンス・情報セキュリティの教育・研修体系全体において、リスクベースアプローチの観点を高めていくべきである。

【提言4-4:その他の人的コントロール】

当社にも消費者金融からの借入れ等の理由から経済的に困窮している社員が一定数存在する可能性があるものと思われる。社員のプライバシーに配慮しつつ「悩み事相談窓口」的対応*11を充実し、窮状から脱出するための専門家の紹介等を行う制度が検討されてよい*12
外部委託会社社員への教育・研修も重要である。

  • *11当社では、内部通報制度に法律相談的要素を加味しており、またメンタルヘルス対応も行われているが、制度の積極的アピールにより利用促進を図りつつ、利用状況をモニタリングすることも必要である。
  • *12部店長等による人事マネジメントが重要であることは言うまでもない。
5.

各種ルールの運用実態の検証

【提言5:各種ルールの運用実態の検証】

各種入室制限、本番用端末へのアクセス、外部記憶媒体の管理などの各種ルールの運用実態を検証し、そのルールの遵守を再徹底すべきである。
6.

危機管理の調査実務について

【提言6:危機管理時の調査能力を高めるための体制整備】

当社では本件につき、当初は緊急対策本部、4月14日には事態の重大性に鑑み危機対策本部が設置されて各種調査や顧客対応等が行われたが、これは危機管理規則に適正に準拠した対応であった。
当社による本件についての調査の状況は、お客さま相談室への第一報から行為者の特定や名簿業者等への対応は適切なものであったが、行為者に対する調査には課題を残した。
したがって、今後の危機管理対応に備えて、迅速性・信頼性・独立性・専門性を確保できるコンティンジェンシープランを整備・充実するとともに、外部専門家投入の要否、時期等についても判断基準を明確化しておくことが必要である。
7.

再発防止策実施状況のモニタリング

【提言7:再発防止策実施状況の第三者機関によるモニタリング】

本報告書の再発防止策の提言を踏まえて、当社は具体的な再発防止策を経営判断により策定し、これを実行していくことになるが、再発防止策実施状況に対するモニタリングが行われなければならない。
このモニタリングについては、「自己点検」、「情報セキュリティ対策ベンチマーク」、独立の第三者に依頼する「情報セキュリティ監査」「ISMS適合性評価制度」などがあるが、本件を機に情報セキュリティ態勢を確立していくためには、独立の第三者による情報セキュリティ監査(社会的合意方式)を受け、この結果を公表することにより、当社が社会的責任を果たしうることを対外的に示すことが望ましい。
なお、このモニタリングは、当社のみならず、データセンターをはじめとした外部委託会社も対象にする必要がある。

以上