情報漏洩の生保に業務改善命令

2009年末に発覚した生保Aによる顧客情報漏洩に対し、金融庁は業務改善命令を出しました。

この生保は「情報漏洩が起こりやすい状況だった」そうです。
例えばID／パスワードの使いまわし。私の記憶ではPCI DSSでもNGとされている事柄ではなかったかと…。

もしかすると皆さんのところでも同じようなリスクを抱えていませんか？顧客情報を扱う担当部署は常日頃からセキュリティに対する意識を高く持っていないと。絶えず勉強です。情報処理試験でも十分知識は得ることができます。といっても試験に受かるためだけではダメですよ！！

生保情報漏洩、3万人強に拡大
生保の顧客情報漏洩事件、漏洩件数が32,000人に拡大したようです。

流出経路は確定されていませんが、海外業務委託先からではないかと疑われています。
この海外業務委託先は先日発表のあった業務委託先と同じかどうかはよくわかりません。
もし別の業者だとすると、業務委託先だけの問題だけではなく生保側の管理体制にも問題があるということになります。

それにしても前回の調査ではこの情報漏洩ログは発見できなかったのでしょうか・・・？


生保情報漏洩は業務委託先から？？
生保の個人情報漏洩は業務委託先から？？

時期が特定できたところでだいぶ絞込みができてきたようです。調査結果が正しければ漏洩件数は13万件までいかず18,184件。

漏洩元が業務委託先・・・。これって私たちも真剣に考えなければならないですよね。
IT企業としてはこうした業務委託は（多分）避けて通れない。しかし、今回のように情報漏洩事故があると、外部（業務委託先企業）からアクセスできるのが悪いのでは？とのことにもなりかねない。
おそらくこうした漏洩事故がないように何重ものチェックを設けているとは思うのですけど。

情報を持ち出せない仕組み、持ち出さなくても良い仕組み。そしてその仕組みに内在するリスクがどこにどれだけあるのか、それに対する仕掛け作りは？考えれば考えるほど大変な作業です。でも考えて一歩でも進んで、こうした事故が起こらない仕掛け作りが必要ですね。


以下略

PCIデータセキュリティ基準完全対策―PCI Data Security Standard

• 作者: ネットワンシステムズ
• 出版社/メーカー: 日経BP社
• 発売日: 2008/04
• メディア: 単行本

タグ：情報漏洩 PCI DSS 情報セキュリティ

コメント 1

たーとる様

ご指摘のとおり、顧客情報が外部からアクセスできる状態、いくらログをとっていてもそれは発見的統制であって、そもそも防ぐ統制が取れていないことが問題だと思いました。プライバシーポリシーに書かれている不当なアクセスを防止するために万全を尽くしていますなんて、何やっているんだろうと。

しかしこれほどの大手がそうであれば、それよりも小さい大手と中企業の保険会社も怖いものですね。

SI企業にとっては特需になるようなニュースだと思いました。
by eis (2010-03-01 08:59)