« 「組込みシステムのセキュリティへの取組みガイド」公開 | トップページ | 「セキュア・ジャパン2009」正式公表 »

2009年6月27日 (土)

金融庁が三菱UFJ証券に業務改善命令

ITmediaの記事「三菱UFJ証券、情報漏えいの再発防止について表明」からです。

今回、金融庁が三菱UFJ証券に出した業務改善命令は、以下のような内容です。

●業務改善命令の内容
1.情報が流出した顧客などの保護や被害拡大の防止に向けて、必要な措置を講じること
2.大量の顧客情報などを流出させ、顧客などに被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
3.今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
4.例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
5.不正行為の未然防止に向けて、人事管理などの改善を図ること。特に、職業倫理の強化などを図る観点から教育、研修のあり方を見直し、適切に実施すること
6.3ないし5への対応状況を含めた情報セキュリティ管理などのあり方について、内部監査の充実、強化や外部監査の活用などにより検証し、その結果を踏まえてさらなる改善を図ること
7.1ないし6への対応状況について、2009年7月3日までに(および必要に応じて随時)に、書面で報告すること。併せて、これらの対応状況について、顧客などへの周知を図る観点から、その概要を公表すること。

●個人情報保護法律に基づく勧告内容
1.個人データの安全管理のための実効性のある措置を確保すること
2.個人データの安全管理を図るための従業者に対する監督を徹底すること
3.1および2への対応として行った措置について、2009年7月3日までに、書面で報告すること

逮捕された元社員が特権を持ちながら監視対象外だったというのが、「内部管理態勢が不十分」の最大の理由ということになるのでしょうね。

今までの報道記事などからの個人的な意見と感想ですが「業務改善」以前に「組織改革」が必要な気がします。

<関連記事>
「三菱UFJ証券の元部長代理を逮捕 5万人分の顧客情報売却」~ITmedia

「「内部管理態勢が不十分」、金融庁が三菱UFJ証券に業務改善命令」~日経ITpro

「弊社元社員の逮捕について」~三菱UFJ証券株式会社 プレスリリース(2009.6.25)

「金融庁による行政処分について」~三菱UFJ証券株式会社 プレスリリース(2009.6.25)

「三菱UFJ証券株式会社に対する行政処分について」~金融庁

|

« 「組込みシステムのセキュリティへの取組みガイド」公開 | トップページ | 「セキュア・ジャパン2009」正式公表 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/30292055

この記事へのトラックバック一覧です: 金融庁が三菱UFJ証券に業務改善命令:

« 「組込みシステムのセキュリティへの取組みガイド」公開 | トップページ | 「セキュア・ジャパン2009」正式公表 »