に、におくえんっ!!!??
松井証券がシステム開発や運用を委託していたSCSKの元従業員が、
2017年から2年半にわたり、顧客情報を不正に取得し、
その情報を利用して顧客資産を売却して、
現金を引き出していたという事件。
被害額は約2億円にのぼるとのこと。
松井証券公表資料:
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
身に覚えのない取引に気づいた顧客から松井証券コールセンターへ連絡して、
発覚したようですが、かなり古い事故のようです。
SCSKの元従業員が逮捕されたので、正式に公表されたみたいですね。
(当然SCSKは元従業員を懲戒解雇)
逮捕容疑は「電子計算機使用詐欺等」。
SCSK公表資料:https://www.scsk.jp/news/2021/pdf/20210324.pdf
システムの運用管理の作業を委託されていた会社の従業員ということで、
顧客情報にアクセスする権限のある人の犯行でした。
(プロジェクトリーダーとして業務に従事していたという情報もあり。)
松井証券のデータセンターから基幹システムのバックアップファイルを
SCSKの開発環境に転送
⇒個人PCに転送
⇒不正に顧客情報取得
⇒その情報を利用して、顧客と同姓同名の口座(ニセ口座)を開設
⇒ニセ口座に送金
⇒ATMで引き出し
という手順のようですが、
すべてのプロセスで気づけなかったというのが、怖いところですよね。
この事件を見て、
思い出したのが2009年の三菱UFJ証券システム部長代理だった男性が、
データベースから顧客情報をCD-ROMに焼いて名簿業者に売ったという事件。
(いわゆる、三菱UFJ証券顧客情報売却事件。古すぎてすみません。笑)
「不正のトライアングル」理論 は有名だと思いますが、
その中でも会社として一番管理できる可能性が高いのが「機会」です。
せめてこの「機会」が管理できれていれば、
どこかで未然に防ぐことができたのでは?と思います。
(今回で言えば「システムへのアクセス権限」「作業監視」「アクセスログ」
「メールのチェック」などなど)
コロナ禍で、従業員に不平、精神的につらい状況もあるかもしれません。
またテレワークで管理がゆるくなっている部分もあるかもしれません。
システムはわからないから業者にお任せ、となっている状況はありませんか?
会社(または委託先)から、逮捕者を出さないよう(会社も本人も不幸です)、
自社の体制・環境をチェックしてみましょう!
ーーーー
参考:過去blog「富山の病院でシステム運用の委託先が患者情報を持ち出し」
https://plug-in01.com/topics/archives/18