政府・業界動向

---

三菱UFJ証券の元従業員が個人情報149万件を持ち出し、一部を名簿業者などへ売却した問題で、金融庁は同社に対策が不十分だったとして行政処分を行った。

従業員の監督や情報漏洩の防止といった安全管理に問題があったとして、金融商品取引法と個人情報保護法の両面から行政処分を実施したもの。7月3日までに同庁へ対応状況を報告し、顧客へ周知するために概要を公表するよう求めた。

同庁は、同社の対策状況について個人情報の持ち出しについて権限が分断されていなかったと指摘。さらに管理や監視など不十分で、同従業員についても監視対象外だったことや、例外的にデータを保存したり、持ち出すことについて確認が徹底されていなかったと問題点を挙げている。

さらに意図的な不正行為の防止するための教育や研修や面についても不足していたことや、さらに経営陣が参加する「情報セキュリティ委員会」についても、リスク管理上の問題点について議論が浅く、不十分だった。

こうした状況から金融庁は金融商品取引法に違反しているとして、顧客保護や被害拡大の防止、責任の所在の明確化、経営管理態勢の改善、情報セキュリティ管理態勢の強化、不正行為の隠蔽の防止、教育や研修の適切な実施など業務改善を命令。くわえて個人データの安全管理措置、従業者に対する監督の徹底など個人情報保護法にもとづき勧告を行った。

同社は今回の行政処分を受けて、「行政処分を厳粛に受け止める」として、顧客や関係者に対してあらためて謝罪。内部管理体制の強化など再発防止策に取り組むとしている。

金融庁
http://www.fsa.go.jp/

三菱UFJ証券
http://www.sc.mufg.jp/

（Security NEXT - 2009/06/25更新）