会見で謝罪するNTTデータの岩本敏男代表取締役社長と植木英次執行役員第二金融事業本部長
会見で謝罪するNTTデータの岩本敏男代表取締役社長と植木英次執行役員第二金融事業本部長
[画像のクリックで拡大表示]

 今週、NTTデータの委託社員による偽造カード事件が明るみに出た。容疑者はデータセンターから盗んだ情報をもとにキャッシュカードを偽造し、銀行から約2000万円の現金を不正に引き出したとみられている。実は6年前にも、NTTデータは元社員によるカード偽造事件を経験している。そのときに再発防止策を講じているが、今回の事件を防ぐことはできなかった。

 今回の偽造カード事件の容疑者は、NTTデータが運営する「地銀共同センター」でシステム開発を担当していた委託会社の社員だ。ATM(現金自動預け払い機)の取り引き情報を入手し、それを使って偽造カードを作成。約2000万円の現金を不正に引き出した窃盗容疑で逮捕された。

 この委託社員は通常、運用中のシステムにアクセスできる権限はないという。しかし、システム改修後の本番稼働時などに、システムの監視や障害対応にあたることがあった。その際に、ATMの取り引き情報を入手したものとみられている。詳細な犯行の手口について、NTTデータは「警察の捜査協力中の段階にあるため公表できない」とした。

6年前の偽造カード事件、被害額は3100万円

 NTTデータは2006年3月28日、同社のデータセンターから持ち出された情報をもとにローンカードが偽造され、銀行のATMから約3100万円が不正にキャッシングされたと発表した。このデータセンターは、仙台銀行のシステムの運用を請け負っていた。

 犯人はNTTデータの元社員。犯行当時はNTTデータの協力会社の社員として、仙台銀行のシステムを受託運用しているデータセンターの運用責任者を務めていた。システムに対する高いアクセス権限を持ち、カード情報を入手してカードを偽造した。犯行の痕跡を残さぬように、指紋認証を使った入退室システムのデータも改ざんしていた。

 当時の事件後、NTTデータは再発防止策を発表している。NTTデータの発表資料によれば、「高度な技術と経験を有する関係者にシステム運用に関する権限が集中していた」「相互牽制が十分に機能していなかった」という点を重く見て、次のような対策を講じたという。(1)運用責任者を増員し、複数の運用責任者による相互牽制を行う、(2)顧客情報にアクセスする際は2人の運用責任者の承認が必要なルールに変更、(3)他システムの運用責任者との相互監査を導入する――などである。

 また、地銀共同センターにおいては、金融庁の金融検査マニュアル「オペレーショナル・リスク管理態勢の確認検査用チェックリスト」、金融情報システムセンターの「金融機関等コンピュータシステムの安全対策基準」、ISO27001やISO20000に則ったセキュリティ/内部統制管理策などを講じた上で、定期的に内部監査や外部監査を実施していたとNTTデータは発表している。

 このような対策を講じていたにもかかわらず、なぜ偽造カード事件は再び起こったのか。犯行の手口が巧妙だったのか、あるいはセキュリティ対策に盲点があったのか。その詳細が今後発表されることに注目したい。