2014年2月5日に明らかになった、横浜銀行のデータ不正取得事件では、多重の業務委託を前提としたシステム管理体制に大きな課題を投げかけた。逮捕された、再々委託先の富士通フロンテックの元部長は、約30年にわたって同行のATMシステムの保守管理を担当し、取引履歴へのアクセスや解析など広範な権限を与えられていた。
一方、横浜銀行から“元請け”としてATMシステムの保守管理業務の委託を受けていたNTTデータは、2012年に業務委託先社員がキャッシュカードを偽造し、現金を引き出した疑いで逮捕される事件を経験している。
2012年の事件と今回の横浜銀行の事件には、限られた人しか知らない情報が悪用されたことや悪意のある内部犯行の防止が難しいことなどで共通項がある。そこで日経コンピュータ2013年3月21日号に掲載した「動かないコンピュータ」の記事全文を改めて掲載する(編集部注:記事中の記載内容はすべて執筆当時のものです)。
[NTTデータ]
最大1068口座の情報を不正取得
システム監視体制に三つの不備
NTTデータが運営する「地銀共同センター」で2012年に起きた、キャッシュカード偽造事件の詳細が判明した。逮捕されたSEはNTTデータの業務委託先社員だった。2006年に発生した類似の事件を受け、セキュリティを強化してきたが、内部事情に詳しいSEに不備を突かれた。(小笠原 啓=日経コンピュータ)
「3度目を起こさないように、万全の再発防止策を取らなければならない。性悪説に立って技術的な抜け穴をふさぐだけでなく、不正を働こうと思わせないように、要員管理や教育の体制を見直していく」。NTTデータの木村千彫パブリック&フィナンシャル事業推進部長はこう強調する。
2012年11月26日、NTTデータの業務委託先社員が京都府警に逮捕された。NTTデータが運営する勘定系システムの共同利用サービス「地銀共同センター」の取引情報を悪用してキャッシュカードを偽造し、現金を引き出した疑いだ。2013年3月8日現在、「支払用カード電磁的記録不正作出等罪」などで公判中である。
