三菱UFJ証券は2009年4月8日、システム部の元社員が顧客情報148万6651人分を不正に持ち出し、うち4万9159人分の情報を名簿業者に売却したと発表した。同社は同日付で元社員を懲戒解雇処分とした上で、告訴する準備を進めている。

 流出した顧客情報は氏名、住所、電話番号、性別、生年月日、職業、年収区分、勤務先名、勤務先の住所と電話番号、部署名、役職、業種。

 元社員はシステム部の部長代理で、エンドユーザーのコンピュータの操作やデータ処理などを支援する立場を悪用した。元社員は顧客データ処理担当の社員のIDとパスワードを悪用し、障害対応目的と偽って顧客データ管理用のサーバーにアクセス。サーバーを設置していた部屋には監視カメラがあり、かつICカードで入退管理をしていたという。

 元社員は148万6651人分の顧客情報を暗号化し、作業用のサーバーに保存した。作業用のサーバーには元社員を含む8人がアクセス可能で、個別にIDとパスワードを付与していた。

 通常は作業用サーバーから外部記録媒体に顧客情報をコピーして持ち出すことはできない。しかし、元社員は毎月1回のマーケット情報を記録したCDを作成する作業の際に、オペレータに対して「特殊な作業」と偽り、暗号化した顧客情報をCDに保存するよう指示。CDをシステム部で作業すると偽って自宅に持ち帰り、パソコンのハードディスクに顧客情報を保存した。

 元社員は金銭目的で、顧客情報を名簿業者に売却。業者には1万人分の単位で情報をメールで送信した。名簿業者3社に対して、2008年10月3日から2009年1月23日までに新規口座または投信ラップ口座を開設した計4万9159人分の顧客情報を売却した。

 三菱UFJ証券によれば、名簿業者に売却した4万9159人分以外の情報は回収済みで、流出していない。売却先の名簿業者3社に対しては、使用と販売を中止する約束を取り付けたとする。同社は3月中旬以降、「(同社に)最近提出した連絡先に業者から勧誘があった」との連絡を顧客から受け、緊急対策本部を設置して調査を進めていた。

 同社は今回の情報流出について「皆様にご心配とご迷惑をおかけして申し訳ありません」と謝罪。緊急対策として、作業用サーバーのアクセス権限を常時付与するのでなく、利用時に申請をしてアクセス権限を付与するようにした。また、本番作業用の端末で作業する際には、作業者に1人以上が付き添って監視するようにした。今後もセキュリティ専門家と相談しながら再発防止を図る。

 今回の情報流出に関する顧客向けの問い合わせ先は0120-49-3234。受付時間は4月8日から30日までの午前9時から午後5時まで。19日までの期間は土日も対応する。

 情報システム部関係者による情報流出事件では、2007年3月に大日本印刷の電算処理室に勤務していた委託先の元社員が860万件の情報の持ち出しが発覚したケースがある(関連記事)。