Whats New
業務改善に関するご報告について
弊社は改善命令発令以降、社内内部管理態勢および業務改善、再発防止に努めて参りまして、現在では大幅な改善対応を実現できたと考えておりましたところ、業務改善報告書を当局に提出しましたことをここにご報告いたします。
引き続き全役職員をあげて業務に精励、邁進するとともに、お客様の信頼回復に努めて参る所存です。
記
1.行政処分事案の概要
弊社は2020年7月14日、海外ハッカー集団による外部からの不正アクセスを受け、外部ベンターが弊社向けに開発した入出金ツールを格納するサーバー内に保管された750名分の本人確認書類画像データを含む39,313名の個人情報が流出しました。
2.原因の分析
(1)外部委託先管理態勢不備
本流出事案の外部委託先のサーバーには、本人確認書類の画像データを定期的に自動削除するシステムが実装されていましたが、当該システムが半年間に渡り稼働せず、本来削除されるべきデータが半年分残存していることが調査で判明しました。弊社は業務委託先のシステムの稼働状況や業務運用の適切性を監視し、これについて責任を負わねばならないところ、本事案発生当時は弊社での外部委託先管理態勢が適切に機能していなかったため、データ自動削除システムの障害について検知できませんでした。
(2)ID、パスワード管理態勢不備
本流出事案は、外部委託先のサーバーに対して、弊社社員アカウントのID、パスワードを盗み出した犯人が弊社社員になりすまし、不正にログインして、サーバー上に管理する顧客個人情報を盗んだ可能性が高いと結論付けており、弊社のID/パスワード管理態勢に不備があったと考えております。
(3)業務管理態勢不備による不正アクセス
本流出事案以前は、在宅勤務時に役職員個人が保有するPCの業務利用に制限を設けていなかった業務管理態勢不備が、社員になりすまして不正アクセスを発生させてしまった原因の一つと判断しております。
3.業務改善策および再発防止策
(1)外部委託先管理態勢の強化
①外部委託先の選定審査
新たに個人情報を取扱う外部委託先の選定時は、社内規則に基づき委託先としての適格性審査を行い、個人データ管理責任者の承認を経て稟議申請が行われ、全役員の承認後に契約締結とする厳格な手続きを実施しております。
②外部委託先のモニタリング
個人情報を取扱う外部委託先には、稼働状況の定期報告を収受すると共に、委託業務の実施状況を定期的にモニタリングし、個人情報管理が適切に行われていることを確認する業務フローを構築しております。
また、緊急事態が顕在化した際は、予め定めた委託先と弊社側双方の担当者間で遅滞なく緊密な連絡態勢を講じる措置を採っております。
(2)社内内部管理態勢の強化
①ID、パスワード管理態勢の強化
社員雇入れ時は、予め本人情報を紐づけた上で使用者権限を付与し、アクセス権限は社員退職時や人事異動毎に即座にアップデートを実施しています。また、パスワード管理は、利用する全てのアプリケーションには期限管理機能を搭載済です。当該運用状況は、異なるIDからPCへのログインが検知された場合、ログイン時のID、PCを即座に割り出し、当該社員への確認が行われるモニタリング態勢を実施しております。
②業務管理態勢の強化
2020年11月以降、全役職員向けにPCを配布すると共に、個人PCの業務利用を全面禁止としました。また、マスキングされていないマイナンバー等の本人確認書類が残置され、外部委託先の自動削除システム機能の監視も不十分だったことが特定個人情報の流出につながったことから、マスキング処理の確認態勢の強化を行い、初鑑、再鑑の2名態勢でダブルチェックを徹底しております。
(3)監査機能の強化
①外部監査法人による監査
弊社では、業務改善の実効性を確実に担保するために、外部監査法人による監査を実施し、弊社の業務改善状況について客観的な評価を得ております。
(ア)情報セキュリティシステム監査
2021年6月に課題指摘を受領、2022年8月実施には改善対応状況の検証を経て、同年8月末の発見事項への業務改善が行われた旨、最終報告を得ました。
(イ)業務監査
弊社が業務委託するグループ企業への外部委託先管理態勢の業務監査が2022年4月にかけて行われ、発見事項の改善策は、2022年6月末より順次運用を開始しました。2022年8月に、弊社の改善状況の検証が外部監査法人により行われ、発見指摘事項は対応済みとの評価を得ております。
②親会社による監査
弊社では、3年に1度、親会社による子会社業務全般を対象にした内部監査を実施しております。直近の親会社の内部監査は、2022年4月より開始、8月には監査チームが来日し、内部管理態勢の監査項目を中心に実査が行われました。
(4)経営管理機能の強化
弊社では、2022年8月に代表取締役社長、10月に取締役コンプライアンス責任者を交代し、同月に2名の非常勤取締役を迎え、取締役会の大幅な刷新を行い、コーポレートガバナンスの強化を図りました。
代表取締役社長は2022年8月就任以降、卓越した指導力を発揮しながら業務改善を進めてきました。また、取締役コンプライアンス責任者は長らく本邦大手金融機関において法令遵守態勢構築に携わり、弊社の内部管理統括責任者として、精力的に内部管理態勢の再構築に邁進しております。新しい経営陣と取締役会において、上述の内部管理に係る諸課題の改善に向けた数々の意思決定と、それに基づく業務執行が行われました。
(5)まとめ
弊社は、当局提出の業務改善計画で定めた業務課題23項目の改善策について、本業務改善計画に従い実施した内部監査における指摘事項への継続的な対応を除き、全ての改善策を実施済みです。また、親会社監査・外部監査による内部管理態勢および業務の検証等が着実な成果を挙げ、業務改善計画で定めた対応策はすべて整備が行われ、その改善効果を確認しております。今後、残課題の対応を進め、業務改善計画に基づく再発防止策を着実に実行し、「PDCAサイクル」の視点から再発防止策の実施および進捗状況の管理、実効性検証の進捗状況の管理を行い、更なる改善に取り組んで参ります。
4.関係者の処分
今般の顧客個人情報の漏洩事案の責任を重く受け止め、弊社取締役会は該当役職員に対して厳重注意、減給を含む社内処分を実施いたしました。
引き続き全役職員をあげて業務に精励、邁進するとともに、お客様の信頼回復に努めて参る所存です。
1.行政処分事案の概要
弊社は2020年7月14日、海外ハッカー集団による外部からの不正アクセスを受け、外部ベンターが弊社向けに開発した入出金ツールを格納するサーバー内に保管された750名分の本人確認書類画像データを含む39,313名の個人情報が流出しました。
2.原因の分析
(1)外部委託先管理態勢不備
本流出事案の外部委託先のサーバーには、本人確認書類の画像データを定期的に自動削除するシステムが実装されていましたが、当該システムが半年間に渡り稼働せず、本来削除されるべきデータが半年分残存していることが調査で判明しました。弊社は業務委託先のシステムの稼働状況や業務運用の適切性を監視し、これについて責任を負わねばならないところ、本事案発生当時は弊社での外部委託先管理態勢が適切に機能していなかったため、データ自動削除システムの障害について検知できませんでした。
(2)ID、パスワード管理態勢不備
本流出事案は、外部委託先のサーバーに対して、弊社社員アカウントのID、パスワードを盗み出した犯人が弊社社員になりすまし、不正にログインして、サーバー上に管理する顧客個人情報を盗んだ可能性が高いと結論付けており、弊社のID/パスワード管理態勢に不備があったと考えております。
(3)業務管理態勢不備による不正アクセス
本流出事案以前は、在宅勤務時に役職員個人が保有するPCの業務利用に制限を設けていなかった業務管理態勢不備が、社員になりすまして不正アクセスを発生させてしまった原因の一つと判断しております。
3.業務改善策および再発防止策
(1)外部委託先管理態勢の強化
①外部委託先の選定審査
新たに個人情報を取扱う外部委託先の選定時は、社内規則に基づき委託先としての適格性審査を行い、個人データ管理責任者の承認を経て稟議申請が行われ、全役員の承認後に契約締結とする厳格な手続きを実施しております。
②外部委託先のモニタリング
個人情報を取扱う外部委託先には、稼働状況の定期報告を収受すると共に、委託業務の実施状況を定期的にモニタリングし、個人情報管理が適切に行われていることを確認する業務フローを構築しております。
また、緊急事態が顕在化した際は、予め定めた委託先と弊社側双方の担当者間で遅滞なく緊密な連絡態勢を講じる措置を採っております。
(2)社内内部管理態勢の強化
①ID、パスワード管理態勢の強化
社員雇入れ時は、予め本人情報を紐づけた上で使用者権限を付与し、アクセス権限は社員退職時や人事異動毎に即座にアップデートを実施しています。また、パスワード管理は、利用する全てのアプリケーションには期限管理機能を搭載済です。当該運用状況は、異なるIDからPCへのログインが検知された場合、ログイン時のID、PCを即座に割り出し、当該社員への確認が行われるモニタリング態勢を実施しております。
②業務管理態勢の強化
2020年11月以降、全役職員向けにPCを配布すると共に、個人PCの業務利用を全面禁止としました。また、マスキングされていないマイナンバー等の本人確認書類が残置され、外部委託先の自動削除システム機能の監視も不十分だったことが特定個人情報の流出につながったことから、マスキング処理の確認態勢の強化を行い、初鑑、再鑑の2名態勢でダブルチェックを徹底しております。
(3)監査機能の強化
①外部監査法人による監査
弊社では、業務改善の実効性を確実に担保するために、外部監査法人による監査を実施し、弊社の業務改善状況について客観的な評価を得ております。
(ア)情報セキュリティシステム監査
2021年6月に課題指摘を受領、2022年8月実施には改善対応状況の検証を経て、同年8月末の発見事項への業務改善が行われた旨、最終報告を得ました。
(イ)業務監査
弊社が業務委託するグループ企業への外部委託先管理態勢の業務監査が2022年4月にかけて行われ、発見事項の改善策は、2022年6月末より順次運用を開始しました。2022年8月に、弊社の改善状況の検証が外部監査法人により行われ、発見指摘事項は対応済みとの評価を得ております。
②親会社による監査
弊社では、3年に1度、親会社による子会社業務全般を対象にした内部監査を実施しております。直近の親会社の内部監査は、2022年4月より開始、8月には監査チームが来日し、内部管理態勢の監査項目を中心に実査が行われました。
(4)経営管理機能の強化
弊社では、2022年8月に代表取締役社長、10月に取締役コンプライアンス責任者を交代し、同月に2名の非常勤取締役を迎え、取締役会の大幅な刷新を行い、コーポレートガバナンスの強化を図りました。
代表取締役社長は2022年8月就任以降、卓越した指導力を発揮しながら業務改善を進めてきました。また、取締役コンプライアンス責任者は長らく本邦大手金融機関において法令遵守態勢構築に携わり、弊社の内部管理統括責任者として、精力的に内部管理態勢の再構築に邁進しております。新しい経営陣と取締役会において、上述の内部管理に係る諸課題の改善に向けた数々の意思決定と、それに基づく業務執行が行われました。
(5)まとめ
弊社は、当局提出の業務改善計画で定めた業務課題23項目の改善策について、本業務改善計画に従い実施した内部監査における指摘事項への継続的な対応を除き、全ての改善策を実施済みです。また、親会社監査・外部監査による内部管理態勢および業務の検証等が着実な成果を挙げ、業務改善計画で定めた対応策はすべて整備が行われ、その改善効果を確認しております。今後、残課題の対応を進め、業務改善計画に基づく再発防止策を着実に実行し、「PDCAサイクル」の視点から再発防止策の実施および進捗状況の管理、実効性検証の進捗状況の管理を行い、更なる改善に取り組んで参ります。
4.関係者の処分
今般の顧客個人情報の漏洩事案の責任を重く受け止め、弊社取締役会は該当役職員に対して厳重注意、減給を含む社内処分を実施いたしました。