三菱UFJ証券システム部の部長代理だった元社員(2009年4月8日付で懲戒解雇処分)が約148万人分の顧客情報を不正に取得しうち約5万人を売却した事件で、金融庁は2009年6月25日、同社に対して金融商品取引法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った(関連記事1関連記事2関連記事3関連記事4)。警視庁は同日、元社員を不正アクセス禁止法違反と窃盗の容疑で逮捕した。

 金融庁は元社員が不正行為の監視対象外であったことや、情報をCDに保存したり貸し出しをしたりする際の承認手続の確認が徹底されていなかったことが情報流出の要因だと指摘。情報システムの管理をシステム部自身の所管としていたためにけん制が働きにくかった点などを挙げて、「内部管理態勢が十分でない」とした。

 このため金融商品取引法第51条に基づき、情報が流出した顧客の保護と被害拡大のための措置、責任の所在の明確化、情報セキュリティ管理態勢の強化などを行うように指示した。また個人情報保護法第34条第1項に基づき、個人データの安全管理のための措置と従業員に対する監督徹底を求めた。

 三菱UFJ証券は業務改善命令と勧告を受けて、対応内容について7月3日までに金融庁に書面で報告する。

 今回の顧客情報流出事件では、流出先が96社に拡大。このうち25社は回収に応じたが、残る71社は依然として回収を拒否している。これまでに約1万5000件超の問い合わせがあり、このうち苦情や相談が5600件に上る。

 同社の調査では、元社員が顧客情報データベースにアクセスする際に使用した嘱託社員のIDは、本来なら使用できなかったことも明らかになった。嘱託社員が異動の際にアクセス権限は削除されるはずだが「手続き上のミスで残ってしまった」と、同社広報担当者は説明する。