三菱ＵＦＪ証券株式会社に対する行政処分について

(1)当社システム部元職員（以下「本件行為者」という。）は、

• (a)本年１月から３月までにかけて、

  • 当社の顧客情報等の検索ツールを利用して、個人顧客情報（約149万件）を抽出し、

  • 当社が社外から継続的に購入している情報（以下「本件一般情報」という。）のデータ処理を担当する外部委託先職員（以下「本件委託先職員」という。）に対し、当該データ処理に関して必要があると偽って、上記個人顧客情報をコンパクトディスクに保存させ、これを借り受け、

  • こうして社外に持ち出した当該個人顧客情報の一部（約５万件）を、第三者に売却した。

• (b)また、本年３月、

  • 本件委託先職員に虚偽の説明を行い、本件一般情報のデータ処理に関して必要があると偽って、本件一般情報が保存されたコンパクトディスクを借り受け、

  • こうして社外に持ち出した本件一般情報を、第三者に売却した。

(2)これらの事案を生じさせた直接的な要因としては、以下の点が挙げられる。

• (a)本件行為者については、顧客情報等の検索ツールの開発・運用等の実質的な責任者であったほか、本件委託先職員を指導する立場にもあるなど、個人顧客情報の不正持出しを可能とする一連の権限等が分断されていなかった。本件行為者への管理・牽制も十分ではなく、また、本件行為者による隠蔽行為も可能な状況であった。当社システム部は、内部者による不正行為の潜在的なリスクを認識していたが、監視の強化等の対応は途上であり、本件行為者の不正行為は監視対象外であった。

• (b)本件委託先職員は、本件一般情報のデータ処理のため、当社では例外的に、一定の情報をコンパクトディスクに保存する作業を定例的に行っていた。定例作業以外でのコンパクトディスクへの情報保存やコンパクトディスクの貸出しを依頼する際には、所定の承認手続を経て行うこととされていたが、その確認が徹底されていなかった。

(3)当社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。

また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。

(4)当社では、情報セキュリティ管理の総合的な運営のために「情報セキュリティ委員会」を設置し、経営陣も参加して議論を行っているが、リスク管理上の問題点について深度ある検討が行われたとは認められない。

また、情報セキュリティ管理のための統括部署が設置されているものの、情報システムの管理はシステム部自身の所管とされており、牽制が働きにくい態勢となっていた。

(a)情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること。

(b)大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること。

(c)今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること。

(d)例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること。

• 部門間の牽制機能の確保

• 外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保

• 不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への管理・牽制の強化

• 不正行為の隠蔽の防止

(e)不正行為の未然防止に向けて、人事管理等の改善を図ること。特に、職業倫理の強化等を図る観点から教育・研修のあり方を見直し、適切に実施すること。

(f)上記(c)～(e)への対応状況を含めた当社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる改善を図ること。

(g)上記(a)～(f)への対応状況について、平成21年７月３日まで（及び必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客等への周知を図る観点から、その概要を公表すること。

(a)個人データの安全管理のための実効性のある措置を確保すること。

(b)個人データの安全管理を図るための従業者に対する監督を徹底すること。

(c)上記(a)・(b)への対応として行った措置について、平成21年７月３日までに、書面で報告すること。