シティバンク、エヌ・エイ在日支店に対する行政処分について

１．  シティバンク、エヌ・エイ在日支店（以下、「在日支店」という。）については、不祥事件等届出書、並びに、銀行法第24条第１項及び第48条に基づく報告により、以下のとおり、顧客情報の取扱い・保護に関して、経営管理態勢、並びに、外部業務委託による業務運営及び内部管理態勢に重大な問題が認められた。

• (1)在日支店からの届出・報告内容によれば、平成16年２月21日、在日支店の顧客情報で、特定の顧客を識別できる情報として取引者名、住所、口座番号等を含む123,690件の１ヶ月分の預金取引（当座預金、円・外貨普通預金、定期預金）、貸出取引（預金担保当座貸越、無担保カード・ローン、住宅ローン）、及び、投資信託取引（国内及び外国投資信託）にかかる月次取引明細書を記録するバックアップ・データが、在日支店がデータ処理及び取引記録明細の作成等の業務を外部委託する当行シンガポール支店管轄下のデータ・センターの搬送途上で紛失する事故が発生しているが、当該事故の発生に関して、以下の事実が認められた。

  • (a)データ・センターがバックアップ・データの保管や搬送業務等を外部委託（再委託）しているシンガポール現地の警備運送業者が、データを搬送する際に業務手順として定められた、搬送前の第三者による点検、搬送用データ・ケースの網掛け等による固定、搬送車両の後部荷室扉の施錠のいずれもが未実施のまま、加えて、扉が開いた場合に作動する警報装置も不作動の状況で当該事故が発生しているが、当該警備運送会社では、通常から同様の状況で顧客情報を含むデータ等の搬送を行っており、当該事故は必然的に発生したものとなっていること。

  • (b)当該業務の委託元である在日支店は、委託先であるデータ・センターを管轄するシンガポール支店との間で、顧客情報の流出防止をはじめとする保護のための措置等が何ら取り決められておらず、かつ、業務監査を実施しても、(a)の管理上の不備を把握していないなど、委託元と委託先の責任の明確化が図られていない状況で、平成９年10月以降、当該業務が経年運営されていたこと。

  • (c)また、在日支店には、顧客情報を取り扱うデータ・センターの委託業務を管理・監督する部署等も存在しておらず、通常の顧客情報の管理及び危機管理体制不在の状況下、今回の事故が発生したため、紛失したデータの内容の特定やその影響等についての調査に時間を費やし、初期対応が遅延して、在日支店がシンガポール支店から顧客情報の紛失発生の第一報を受けて事故を認識するまでに、事故発生日から６日を要する事態となっていること。

  • (d)当該事故の発生報告を受けた在日支店では、当庁に対する報告・届出を行っているが、基本的な事実確認（事故発生の原因、紛失したデータの内容、二次被害発生の可能性の有無を含む）と顧客対応方針が明確とならない状況であり、対応が遅延していたため、当庁の銀行法第24条第１項及び第48条に基づく報告徴求を受け、具体的な指示・監督を受けるまで、当該事故の対象顧客への通知と対外公表が迅速に行われず、結果的に通知・公表までに事故発生から約１ヶ月が経過する事態となっていること。

  • (e)上記のとおり在日支店の対応が遅延した背景には、顧客情報の紛失という重大な事態の発生に対する問題認識が希薄であり、現行の在日支店によるデータ処理及び取引記録の作成等の業務の外部委託について、通常からデータ処理等の外部業務委託の管理・監督体制と責任態勢が未整備の状態にある在日支店、シンガポール支店及びニューヨーク本店における経営決定や判断が遅延し、或いは、判断等が適切性・妥当性を欠いた場合には、在日支店全体の業務運営及び経営、並びに、顧客対応に影響を与える態勢となっている問題が顕在化していること。

• (2)また、当庁の報告徴求に対する在日支店からの報告内容は、当初、適切性を欠き、当庁との議論を踏まえ、最終的に報告書を提出するまでに、報告期限後、更に約１ヶ月を要していること。

• (3)上記(1)及び(2)のとおり、在日支店における経営管理態勢の不在の問題が一連の対応を著しく遅延させており、顧客情報を適正に管理する部署の不在、及び、今回の事態についても適切・妥当な対応が図られなかった経緯に鑑みれば、在日支店の自主的な取組みに委ねたのでは、確実な改善を図ることはできないと認められること。

２．  以上を理由として、当庁は、本日、在日支店に対して、銀行法第47条第２項、第３項及び第26条第１項に基づき、下記の行政処分を行った。

記

銀行法第47条第２項、第３項及び第26条第１項に基づく命令

• (1)在日支店における顧客情報の取扱い・保護にかかる適正な管理体制を確立し、顧客情報の漏洩等を未然に防止するため、以下の観点から、現行の経営管理態勢、並びに、外部業務委託（及び外部再委託）による業務運営及び内部管理態勢を抜本的に見直し、再構築すること（人的構成と体制の構築を含む）。

  • (a)顧客情報の管理にかかる経営姿勢の明確化

  • (b)在日支店の顧客情報について、在日支店が明確に責任を有する管理・監督が可能な経営管理態勢及び業務運営・内部管理態勢の確立

  • (c)顧客情報の漏洩等の発生に際して迅速かつ機動的な対応が可能な態勢の整備（二次被害防止の観点からの顧客に対する迅速な説明態勢の整備を含む）

  • (d)役職員の顧客情報管理に対する理解と遵守の徹底

  • (e)顧客情報管理にかかる内部監査機能の整備とフォローアップの実施

  • (f)関係する役職員の責任の所在の明確化

• (2)上記(1)にかかる業務の改善計画を平成16年７月12日までに提出し、直ちに実行すること。

• (3)以後、当該業務の改善計画の実施完了までの間、計画等の進捗・実施状況を３ヶ月ごとに報告すること。