事故から学ぶ

TOP > 事故から学ぶ > 金融機関管理化での情報機器紛失 > 三井住友銀行の顧客情報、保守委託のOKI系が紛失

2020/05/17

三井住友銀行の顧客情報、保守委託のOKI系が紛失

事故概要

業種	金融機関　三井住友銀行
発生時期	2020/05/1
漏えい人数	未発表
事故概要	三井住友銀行は1日、顧客情報の入ったハードディスク2個を事務機器の保守を委託するOKIクロステックが紛失したと発表した。氏名や口座残高などの情報が含まれているが、すべて暗号化されており通常、第三者が解読することはできないという。紛失したハードディスクには、2009年1月21日から18年10月15日までに東京・江戸川の葛西支店を訪れ、通帳を新規に発行した顧客と、繰り越し手続きをした顧客の氏名、口座番号、残高などの情報が入っていた。現時点でハードディスクは見つかっていないものの、顧客情報が不正に使われた形跡はないという。三井住友銀がOKI側にハードディスクの在庫確認を求めたところ、OKI側が紛失に気づいた。同行は「今回の事態を深く受け止め、再発防止に向け顧客情報の管理を再度徹底する」とコメントしている。
引用元	日本経済新聞社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
（第20条）安全管理措置（第22条）委託先の監督　社内規則の整備（自社運用・外部サービス利用）

チェックリストにある要求ルール：

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか？
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか？
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか？
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか？

■ 推奨対策

対策：

発表を見る限り、三井住友銀行は点検実施を指示し、OKIが点検をした結果、紛失に気付いたという流れである。
点検頻度を上げれば防げたのか確証はないが、年次点検のサイクルであったなら、当面の間、多頻度化すべきであろう。ただし、点検慣れすると在庫の読み飛ばしや、未確認の棚卸がでるので立ち合い棚卸が必要である。

具体例：

特に重要な情報機器はICタグをつけて、移動がトレースできるような仕組みにすべきであろう。特に金融機関であれば、直ちに実施すべきである。