事故から学ぶ

三井住友銀行の顧客情報、保守委託のOKI系が紛失

事故概要

業種 金融機関 三井住友銀行
発生時期 2020/05/1
漏えい人数 未発表
事故概要

三井住友銀行は1日、顧客情報の入ったハードディスク2個を事務機器の保守を委託するOKIクロステックが紛失したと発表した。氏名や口座残高などの情報が含まれているが、すべて暗号化されており通常、第三者が解読することはできないという。
紛失したハードディスクには、2009年1月21日から18年10月15日までに東京・江戸川の葛西支店を訪れ、通帳を新規に発行した顧客と、繰り越し手続きをした顧客の氏名、口座番号、残高などの情報が入っていた。現時点でハードディスクは見つかっていないものの、顧客情報が不正に使われた形跡はないという。
三井住友銀がOKI側にハードディスクの在庫確認を求めたところ、OKI側が紛失に気づいた。同行は「今回の事態を深く受け止め、再発防止に向け顧客情報の管理を再度徹底する」とコメントしている。

引用元 日本経済新聞社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか?
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか?

■ 推奨対策

対策:

発表を見る限り、三井住友銀行は点検実施を指示し、OKIが点検をした結果、紛失に気付いたという流れである。
点検頻度を上げれば防げたのか確証はないが、年次点検のサイクルであったなら、当面の間、多頻度化すべきであろう。ただし、点検慣れすると在庫の読み飛ばしや、未確認の棚卸がでるので立ち合い棚卸が必要である。

具体例:

特に重要な情報機器はICタグをつけて、移動がトレースできるような仕組みにすべきであろう。特に金融機関であれば、直ちに実施すべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。