顧客情報7万件紛失 三井住友銀行は被害者か?
口座番号など、顧客情報7万件紛失 三井住友銀行
5/1(金)12:24時事通信配信
≪三井住友銀行は1日、事務機器の保守などの委託先の「OKIクロステック」(東京)が約7万件の顧客情報を紛失したと発表した。葛西支店(東京都江戸川区)の事務機器に取り付けられていたハードディスク2個をなくした。顧客の氏名や口座番号、入出金などが記録されていたが、情報は暗号化されており、外部の者は解読できないという。≫
「という」のは、と言っているよ、というだけのこと。
暗号化されているから「外部の者は解読できない」なんていう断定は、いまどきしない。
暗号化していても解読されてしまうかもしれない、その危険がある、と考えるべきだ。
三井住友銀行が本気で「外部の者は解読できない」と考えているのなら、かなり問題だ。
≪紛失したのは、2009年1月~18年10月に葛西支店で通帳の新規発行などの手続きをした顧客の情報。ディスクは入れ替え時にその場で初期化するルールだったが、OKI社側の独断でそのまま持ち出した。≫
どうしてこんな基本的なルール違反が行われるのか。
ディスクの入れ替えは銀行の建物内で行うのではないか。
ディスクを初期化するときに行員は立ち会うことになっているのではないのか。
そのチェックリストがあるのではないか。それにはどう記録されているのか。
立ち会いもいない?
チェックリストもない?
チェック記録もない?
以前からルーズな運用だったのではないか。
ルーズな運用は葛西支店だけなのか。
≪三井住友銀行は「定期的に委託先の管理態勢を確認してきたが、誠に申し訳なく深くおわびする」とコメントしている。≫
「定期的に」?
「委託先の管理体制を」?
「確認してきた」?
そもそも支店の現場で起こったことが発端だったのではないのか。
支店の体勢に問題があった。支店の体勢次第で被害は防げた。
そうは思いませんか、三井住友銀行さん。