NTTデータは28日、仙台銀行から運用を委託されているコンピューターセンターから同行のATM(現金自動預け払い機)の取引記録が持ち出されてオリックス・クレジットのローンカードが偽造され、17人分約3100万円が不正に引き出されたと発表した。ローンカードを偽造し現金を詐取した容疑が持たれているのは、同センターのシステム運用責任者だった50歳台半ばの男。男は2月22日から行方が分からなくなっており、宮城県警が捜査している。
NTTデータによると容疑者の男は、首都圏にあるコンピュータセンターから仙台銀行のATMでオリックス・クレジットのローンカードを利用したことがある顧客408人分のカード番号や暗証番号などの情報を紙に印刷して持ち出し、それらの情報を元にローンカードを偽造。昨年10月7日と今年2月2日の2回にわたり、他の金融機関のATMで不正に現金を引き出した疑いが持たれている。不正に持ち出された情報を使えば、オリックス・クレジットのホームページ上で顧客の氏名、利用可能枠、利用可能額を閲覧することができるという。不正に情報が取得された顧客は、全員新しいカードに切り換えられ、現金を引き出された被害者に対して被害額全額が補償された。
容疑者の男は、1965年にNTTデータに入社し、1998年にNTTデータを退職。その後、NTTデータの協力会社から2000年1月からコンピュータセンターに派遣された。2003年5月から今年2月までの間、システム運用責任者を務めており、取引記録にアクセスする権限を持ち、システムの不正運用を監督する立場にあったという。
取引記録は、システム故障時の復旧や銀行からの問い合わせに対応するために保存されていた。取引記録を出力するためのプログラムでは、暗証番号を表示しない設定がされていたが、男は自身の立場を利用してプログラムを改造して暗証番号を含む取引記録を出力したとみられる。また、コンピュータ室への入退室の際には指紋認証システムを導入していたが、男は入退室の履歴を改ざんしていたことも分かった。
運用管理者は、容疑者の男以外にもう1人配置されているが、運用責任者相互に監視し合う牽制機能が十分に働かず、管理者の立場が完全に悪用された。同センターでは、指紋認証の他にも外部記録媒体の使用禁止や操作ログ取得などのセキュリティ対策行っていたものの「責任者としてやっていた人間が起こすとは予想もしていなかった。最後は人間の問題だと痛感している」と浜口友一社長が話すように、本来情報漏洩をチェックするべき立場の人間への信用が裏目に出た形となった。
会見で浜口社長は陳謝し、今後は(1)管理者を増員するとともに運用作業結果を別の運用責任者によるチェックを厳格化して相互牽制を強化、(2)顧客情報や機密情報へのアクセスを伴う運用作業の承認者を現行の1人から2人に増加、(3)他システムの運用責任者との間で相互監査─を徹底すると、再発防止を誓った。
