ゆうちょ銀行の顧客情報不正流用問題 グループ企業における情報資産管理とアクセス制限の重要性とは
2024年9月21日、日本郵便がゆうちょ銀行の顧客情報をかんぽ生命保険の営業活動に不正流用していたことが発覚しました。三社はいずれも日本郵政グループで、日本郵便はゆうちょ銀行とかんぽ生命から窓口業務の委託を受けていました。保険業法違反の可能性があり、20日、日本郵便とかんぽ生命は総務省と金融庁に報告しています。顧客の信頼を裏切る形で発生したこの問題は、組織内部での情報管理の甘さや情報漏洩対策の重要性を再認識させるものとなりました。※1 ※2
事件の概要
今回の事件では、ゆうちょ銀行の顧客データが営業戦略として利用され、顧客の同意を得ないままかんぽ生命保険の商品勧誘に使用されました。具体的な手法としては、ゆうちょ銀行の顧客データ(預金残高、年齢など)をもとにリストを作成し、郵便局の「お客さま感謝デー」などのイベントへ案内して保険勧誘を行っていたことが挙げられます。さらに、銀行キャッシュカードのIC化を理由に顧客を郵便局に来てもらおうとするケースもあったとされています。※3
また、今回の事案は保険業法にも違反する可能性があります。保険業法では、顧客に対する商品の販売や勧誘において、顧客の個人情報を厳格に取り扱うことが求められています。鈴木金融担当相は、郵便局の顧客の口座残高などの情報を、事前に顧客から同意を得ずに保険の勧誘に利用する行為は法律で禁止されているとし、法令順守や契約者保護の観点から適切に対応していくとしています。※4
企業グループ内での情報資産管理の必要性
企業やグループ内での情報の共有は、効率的な業務遂行にとって重要です。しかし、情報の共有が自由すぎる場合、今回のように不正利用や漏洩のリスクが高まります。特に、顧客情報のような機密性の高い情報資産は、適切な管理とアクセス制限が求められます。
今回のケースを防ぐためには、組織としてNeed to Knowの原則を徹底することが必要です。これは、従業員が知るべき情報だけにアクセスできるように制限するという考え方で、業務に関係のない情報にアクセスできる権限を持たせないことを意味します。今回のようなグループ間での情報不正利用は、この原則の徹底がなされていなかったことによるものでしょう。
情報の区分とアクセス管理の徹底
情報資産を適切に管理するためには、単にアクセス制限を行うだけでなく、情報をその重要度に応じて区分することが不可欠です。特に、顧客情報のような機密性が高いデータは、厳格に管理されるべきです。
- 情報の区分:「極秘」「機密」「社外秘」「公開」などに分けることで、必要なセキュリティ対策のレベルを適用することができます。今回の事件では、顧客情報の扱いに関する明確な区分と管理が欠けていたため、不正な利用が可能になったと言えます。
- アクセス管理:企業内での情報の取り扱いにおいても、業務に関連する者だけが特定の情報にアクセスできるようにする必要があります。定期的な監査やアクセス権の見直しを行うことで、情報漏洩リスクを低減できます。
なお、機密情報の分類についてはこちらのコラムでも詳しくご紹介していますので、是非ご参考ください。
情報漏洩対策の強化が企業の信頼を守る
今回の事件は、顧客の信頼を大きく損ねる結果となりましたが、今後このようなリスクを防ぐためには、情報漏洩対策を強化する必要があります。特に、顧客情報のような情報資産は、Need to Knowの原則などに基づいて管理されるべきです。
さらに、企業グループ内での情報共有を厳格に制限し、無関係な第三者が情報にアクセスできない体制を整えることが重要です。企業間の連携が深まる中で、情報管理の重要性はますます高まっています。顧客の信頼を維持するためには、アクセス管理の強化と、情報資産の区分けを徹底することが不可欠です。
結論として、情報漏洩を防ぎ、企業の信頼を守るためには、Need to Knowの原則を遵守し、情報資産の管理体制を再構築することが今後の鍵となります。
DataClasysで実現する「情報共有」と「機密情報保護・管理」
弊社のご提供するDRM/IRMソリューション「DataClasys(データクレシス)」は、企業や行政といった組織の内外を通じて機密性の高いファイルを安全に共有することが可能です。ファイルの重要度に応じて「極秘」「機密」「社外秘」「公開」などといった機密区分を設定し、ファイル単位、フォルダ単位での管理が可能なため、本来守るべき情報資産を的確に管理できます。
ファイルを重要度に応じて管理することは、単なる情報漏えい対策だけでなく、ISMS(ISO/IEO27001)やBS7799などの情報セキュリティ認証基準に則した管理です。また、SOX法や不正競争防止法、証券取引法などの企業ガバナンス=内部統制強化のための前提となります。
さらに、Need to Knowの原則を実現することにも寄与します。DataClasysにより、機密区分に応じたアクセス制御が可能となり、組織内の情報が適切に管理されるため、各従業員は自分の業務に必要な情報のみを取得・利用することができます。これにより、無関係な情報へのアクセスを制限し、組織全体のセキュリティを強化することができるのです。
組織内の適切な情報共有と機密情報保護・管理にご興味のある方は下記よりお気軽にお問い合わせ下さい。
WEBセミナーのお知らせ
【11月14日(木)】情報漏洩に対する決定打 ~ランサムウェア攻撃・内部不正に学ぶ!EDR SOCとファイル暗号化の併用~
本セミナーは株式会社アクト様との共催セミナーとなります。前半では、アクト様からEDRとSOCを使った外部からのサイバー攻撃の検知・防御手法についてご説明いたします。後半では、データクレシスからファイル暗号化・IRMによる内部不正対策を含めた更なるセキュリティ強化についてご紹介します。是非お気軽にお申し込みください。
【11月21日(木)】【製造業向け】3DCAD含む全ファイルの「流出しても被害なし」を実現するIRMソリューション〜「手土産転職」等の内部不正による機密情報漏えい、営業秘密持ち出しを確実に防ぐ方法〜
製造業における情報セキュリティリスクは多岐にわたり、企業はこれに対処する必要があります。本セミナーでは、その中でも特に “内部不正による情報漏えい” への対策として、ファイル暗号化と3DCADを含むすべてのファイルに対してそれを実現するIRMソリューション「DataClasys」について、事例を交えてご紹介します。
カタログ・資料ダウンロードはこちら
参考
※1 ゆうちょ顧客情報不正流用 日本郵便、かんぽの営業に | 日本経済新聞 2024年9月21日
※2 ゆうちょ銀の顧客情報を保険勧誘に流用、日本郵便が保険業法違反か…金融庁と総務省に報告 | 讀賣新聞オンライン 2024年9月21日