アリコジャパンの顧客情報が流出した問題で、同社は2010年3月24日、金融庁に業務改善報告書を提出した(関連記事)。報告書には、再発防止策や顧客情報保護体制の構築、さらに日本における代表者・社長の高橋和之氏ら役員の報酬返上などが盛り込まれている。
アリコは報告書において、組織的な情報セキュリティ管理態勢や業務委託先に対する監督強化などの取り組みを示した。2009年11月には情報セキュリティ委員会や情報セキュリティ推進部を新設。業務委託先の社員にホストコンピュータにアクセスするためのユーザーIDを付与する際には、本人確認のための書類提出を義務付けるなど、ID管理を強化している。
再発防止策として、ホストコンピュータとデータベースのアクセスログの取得と分析を徹底。システムに対して不審なアクセスがあった場合には、アラートを発する監視プログラムを新たに導入した。業務委託先への監督強化の一環として、2010年度からアリコの監査部門が業務委託先に立入監査し、管理体制を継続的に検証するルールを設ける。
これまでの調査では、中国の業務委託先の会社のオフィスの端末からアリコのホストコンピュータにアクセスして情報を持ち出したとみられるが、実行犯や実際に流出したデータの最終特定には至っていない。アリコは、今後も原因究明を継続する方針である。3月24日付で、被害届が中国警察当局に受理された。
今回の情報漏洩問題で、アリコの高橋社長が月例報酬の30%を4カ月間返上。個人情報保護法が施行された当時の代表者を含む5人の関係役員が月例報酬の20~30%を1~3カ月間返上し、職員4人がけん責処分を受けた。
