事故から学ぶ

みずほ総合研究所株式会社におけるお客さま情報の紛失について

事故概要

業種 金融機関 みずほ総合研究所株式会社  株式会社みずほ銀行
発生時期 2020/7/21
漏えい人数 18380000
事故概要

みずほ総合研究所株式会社(以下「みずほ総研」)におきまして、みずほ総研が保有する個人情報を含むお客さま情報を記録した記録媒体(Linear Tape-Open)を紛失していることが判明しました。
記録媒体に記録されている情報には、株式会社みずほ銀行(頭取:藤原 弘治、
以下「みずほ銀行」)との共同運営事業である MIZUHO Membership One に関する情報や、みずほ銀行等がみずほ総研へ委託している業務に関する情報も含まれております。
情報管理の重要性につきましては、従来から徹底を図ってまいりましたが、こ
のような事態により、お客さまへご心配をおかけすることとなり、誠に申し訳な
く、深くお詫び申し上げます。
内部調査の結果、紛失した記録媒体につきましては、誤廃棄の可能性が高く、
不正持出等の形跡は認められておりません。
また、記録媒体に記録されているお客さま情報を復元するためには、特殊な仕
様のシステム環境を構築することが必要であり、したがって、第三者により情報
を解読される可能性は低いものと考えております。
記録媒体に記録されていた情報は以下のとおりです。
(1)顧客管理システムのバックアップデータであり、お客さま情報(約 669 千件)ならびにお客さまのサービス利用実績に関する情報(約 1,838 千件)(※)となります。
(※)お客さま情報には、みずほ銀行との共同運営事業に関する法人情報(約
51 千件)とそれに付随する個人情報が含まれております。お客さまの
サービス利用実績に関する情報にも、みずほ銀行等より委託されている
相談サービス業務に関する情報(約 342 千件)が含まれております。
(2)2018 年 12 月 7 日までにお取引をいただいていた情報が対象となります。
(3)記録媒体に含まれる具体的な情報は、お客さまの氏名・名称(企業名、代表
者氏名、連絡窓口担当者氏名)、連絡先(住所、電話番号、メールアドレス)
のほか、性別、年齢、売上データ、サービス利用実績(相談内容、委託内容)、
取引部店、口座番号等が含まれる場合があります。
なお、これまでに、お客さまの情報が不正に使われたとの連絡や照会、また、
みずほ総研ならびにみずほ銀行に対する不正要求等、外部への情報漏えいが疑
われるような事象は生じておりません。みずほ総研ならびにみずほ銀行といたしましては、今回の事態を真摯に受け止め、早急に再発防止策をとりまとめ、今後、お客さま情報の管理について再徹底してまいります。

引用元 みずほ総合研究所株式会社 株式会社みずほ銀行

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-15(第20条)安全管理措置 作業ルールの徹底
(廃棄・誤廃棄防止)

チェックリストにある要求ルール:

重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?
廃棄した記録を取っていますか?
廃棄対象外の書類や情報が混ざっていないか、台帳と照合するなどの方法で確認していますか?確認はダブルチェックしていますか?

■ 推奨対策

対策:

PCはもちろん、データセンターのサーバなどは定期的なバックアップを実施している場合もあり、そのバックアップデータの流出や紛失も大きな問題となりうる。業務フローや委託先の取り扱い状況を確認するのはもちろん、データ自体の暗号化やディスクの暗号化を組み合わせ、リスクの低減が必要である。

具体例:

探しても見つからないので誤廃棄だとする判断はいかがなものか。企業の信頼性に関わる問題である。手順手続きのみならず、管理監視体制からの見直しが必要である。管理職幹部を厳しく矯正する措置が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。