NTTデータは3月28日,協力会社の社員がオリックス・クレジットのローン・カードの情報を盗み出した可能性があり,偽造カードによるキャッシングの被害が総額約3100万円あったと発表した。NTTデータの浜口友一社長は,「当社のような信頼を重視する会社にとっては大変深刻な事態だと受け止めて,再発防止に取り組む。関係する方々に深くお詫びしたい」と頭を下げた(写真)。
容疑者は,NTTデータの協力会社である「エムディーシステム」から派遣され,NTTデータが運用を受託している仙台銀行のデータ・センターの運用責任者だった。1998年までNTTデータに勤務しており,2000年から当該システムの運用業務に従事し,2003年から運用責任者に就任していた。容疑者は2月22日以降,行方不明となっている。
事件が発覚したのは,2005年10月と2006年2月に不正なキャッシングによる被害が発生したため。宮城県警の捜査の結果,仙台銀行のATM(現金自動預け払い機)でローン・カードを利用した際の取引記録の一部が,NTTデータの運用するデータ・センターから不正に持ち出されていることが判明した。
容疑者は,運用責任者という立場を利用して取引記録を不正に取得した疑いがある。不正に持ち出されたのは,オリックス・クレジット利用者の408名義分のカード番号,暗証番号,会社コード。容疑者はこの情報をもとに偽造カードを作成し,17名分の合計約3100万円を引き出した可能性がある。
取引記録は,システム故障時の復旧作業や銀行からの問い合わせ対応のために保持していたもの。本来,暗証番号は表示されない。しかし,容疑者が出力プログラムを不正に改造。暗証番号を含む取引記録を印刷して持ち出したとNTTデータは想定している。また,容疑者は入退室管理の指紋認証システムの履歴も改ざんしていた。
浜口社長は,「センターには,セキュリティ・ゲートの設置や警備員の配置,記録媒体の持ち出し禁止など相当なセキュリティ対策を打ってきたつもりだった。今回の件で,最後は人間の問題ということを痛感した。責任者として信頼した人が事件を起こすとは,予想もしていなかった。今後は,人に対する策を打っていく」と唇をかんだ。
再発防止策は,データ・センターの運用手順を見直すほか,浜口社長を本部長とする「セキュリティ強化特別対策本部」を設置して全社的に取り組む。具体的には,(1)重要な情報を扱う場合は複数の運用責任者の承認を求める,(2)運用責任者間の相互監視の強化,(3)同一ポストに長期間配置しない人事制度の導入--などを実施する。
