2009 年 8 月 12 日
株式会社東京証券取引所は、三菱UFJ証券株式会社の顧客情報流出問題に対して、処分(戒告)を行った事を発表した。
同証券による顧客情報の流出は、元社員が約148万人分の顧客情報を持ち出し、約5万人分を名簿業者に売却した事で6月に警視庁に逮捕されていた。
また、併せて、同社に対して、以下を含む業務改善報告書の提出を請求した。
① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
(部門別のけん制機能の確保。外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保。不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化。不正行為の隠蔽の防止)
⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
⑧ 個人データの安全管理のための実効性のある措置を確保すること
⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること
http://www.tse.or.jp/news/200908/090811_c.html
