48. 【情報漏洩事例】大手証券会社の顧客情報売却

2005年に個人情報保護法が施行されて以降も、個人情報流出事件は頻繁に起こっています。今回は、2009年に発覚した大手証券会社の顧客情報売却事件の例を参考に、情報漏洩がどのようにして起こるのか、企業にとっての損害がどの程度のものになるのかを考えてみましょう。

社員が約5万人分の顧客情報を持ち出し複数の名簿業者に売却

大手証券会社の顧客情報売却事件は、平成21年、大手証券会社のシステム部の部長代理だった元社員が顧客情報約148万人分を不正に取得し、うち約5万人の情報を名簿業者に売却したというものです。

元社員が持ち出した情報は、同社で平成20年10月3日から平成21年1月23日までに新規口座または投信ラップ口座を開設した顧客情報で、氏名、住所、電話番号(自宅、携帯)、性別、生年月日、職業、年収区分、勤務先名、勤務先住所、勤務先電話番号、勤務先部署名、役職、業種という内容でした。

このうち、約143万人分は流出前に回収されましたが、流出した5万人分の情報は名簿業者3社に売却されたことが確認されています。さらに、調査の結果、流出した個人情報は、直接の売却先以外に少なくとも98社に転売されたことが分かりました。

大手証券会社が被った損害は70億円を超える

平成21年3月以降、大手証券会社へ顧客からの個人情報に関する問い合わせが多くなったことから事件が発覚。犯行を認めた元社員は同年4月8日付で懲戒解雇されました。

大手証券会社は元社員の解雇と同日付で事件を公表。名簿の売却先、転売先には、情報の使用中止や破棄を交渉しました。なお、元社員は窃盗及び不正アクセス禁止法違反の容疑で逮捕、起訴され、東京地裁で懲役2年の実刑判決を受けました。

この事件で、大手証券会社は、情報が流出した約5万人に、お詫びのしるしとして1万円相当のギフト券を送付しました。つまり、このための費用だけで5億円かかったことになります。

さらに、事件の調査や顧客からの問い合わせ対応にかかった費用、名簿の売却先、転売先との交渉にかかった弁護士費用、機関投資家からの発注が減少したことによる逸失利益などを合わせると、同社が被った損害額は約70億3,500万円にのぼると言われています。

何より同社にとって痛手になったのは、情報漏洩事件を引き起こしたことによって、顧客の信用を失ったことです。お金の問題だけならまだしも、ひとたび失った信用を回復するのは困難です。企業にとって、情報漏洩がどれだけ恐ろしいことか分かる事件だと言えるでしょう。

内部管理体制が不十分だったことが原因と考えられる

この事件で元社員が顧客情報データベースにアクセスする際に使用したIDは、既にほかの部署に異動になった嘱託社員のものでした。元社員は、部長代理という立場から、同僚の企業内IDを知り得たとされています。

さらに、元社員が使用した嘱託社員のIDは本来削除されているべきものでしたが、これがそのままになっていたため、不正アクセスが簡単にできる状態でした。

同社においては、企業内IDやアクセス権の管理がずさんになっていたため、元社員がアクセス権を悪用し、顧客情報を流出させる結果となったと考えられます。平成21年6月には、金融庁から同社に対し業務改善命令も出されました。

個人情報が漏洩すれば、予想をはるかに超える損害が発生するだけでなく、顧客からの信頼を失うという企業にとって致命的な事態になることがあります。企業においては、個人情報の漏洩を防止するために、常にセキュリティ対策を万全にしておくことが大切です。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?