日経BP社サイト上で、LACの西本逸郎氏が、三菱UFJ証券事件について論じています。興味深いのでご紹介します。

■誰が犯罪性を問われるのか?

西本氏は、今回の事件で犯罪性を問われるのは誰かとして、今回の行為を整理しています。

(1)元社員が他人のIDを使用したこと
(2)元社員がオペレーターを巧みに騙してコピーさせたこと
(3)元社員がこの情報(CD)を持ち出し、自宅のパソコンにコピーしたこと
(4)元社員がこのデータの一部を第三者に売却したこと
(5)不正に持ち出されたものと知った名簿業者がその名簿を使用し続けること
(6)善意の第三者を装い名簿をさらに別な業者に転売すること
(7)名簿を手にいれた業者が執拗に勧誘すること
(8)持ち出された会社の管理の不備

(1)〜(4)は、元社員の行為ですが、個人情報保護法については、主務大臣による勧告、命令が罰則規定の前に来ます。今のところそういう話は聞いていませんので、個人情報保護法の罰則規定が適用される可能性は低いかと。また、不正競争防止法、不正アクセス禁止法、著作権法などに問われる可能性がありますが、それぞれの法律には適用にあたり条件がありますので、まずは検察がどう立件するかですね。

(5)(6)は、名簿屋ですね。個人情報保護法17条には「適正な取得」の規定がありますので、この伝家の宝刀をぬいてもらって、主務大臣が勧告や命令をしてくれればいいのですけどね。。。で、この勧告にも命令にも従わなかった場合にはじめて、個人情報保護法の罰則による立件になると。あと、今回の事件で、名簿屋は不正競争防止法の違反を問われる可能性はあります。

(7)は、営業会社ですね。そもそも盗んできた名簿を利用して売り込みをしたりして、売れる訳がないと思うのですが。。。ここも名簿屋と同じく主務大臣に動いてほしいと思います。

(8)については、三菱UFJ証券自体の責任になりますが、個人情報保護法に基づく主務大臣による勧告があったとしても、それに従わないことは考えられませんので、それにしたがって、終わりですね。立件の可能性はないと思われます。

まとめると、主務大臣の動きがカギになりますね。元社員と三菱UFJ証券に対しては金融大臣が、名簿屋と営業会社に対しては経済産業大臣が主務大臣となりますので、連携して動かないとうまく行きそうにないですね。

■なぜ発覚しなかったのか?

西本氏は「顧客の問い合わせより前に、他人のIDを使用した操作や業務上不自然なデータの抽出、暗号の目的外使用、CDへのコピー依頼などを監視や監査で発見できなかったのか」と書いています。確かにその通りですね。データベースのアクセスログを適切に監視していれば、もっと早い段階で気づけたはずだと思いますね。

また、西本氏は、「事故はあってはならぬもの」から「事故前提の対応力を強化する」への移行を強く勧めています。「事故は発生しない」対策を講じようとするよりも、事故が起こることを前提にした対策を立てろと言うことです。

とても勉強になります。

http://it.nikkei.co.jp/security/column/nishimoto_security.aspx?n=MMIT2g000012052009



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!