顧客情報基にカード偽造 責任者の悪事

　こんにちは、丸山満彦です。情報セキュリティと内部統制の関係を教えてくださいという話があります。結論は、「情報セキュリティ対策は内部統制の一部」です。会計データに関係する場合は、財務報告に係る内部統制に該当することになりますので、まもなく始まるであろう財務報告に係る内部統制の経営者評価と監査制度（いわゆるJSOX）でも情報セキュリティは関係してくることになりますね。
　さて、本日は、NTTデータのシステム運用責任者が自らが責任をもって管理すべき仙台銀行の取引情報の入った磁気テープからクレジットカード利用者のカード番号と暗証番号などを持ち出し3100万円を引き出すという事件が報道されていました。
　

　
　「残念ながら、責任者が悪事に手を染めるという考えに欠けていた。システムの見直しや社員教育の充実などの再発防止に取り組みたい」というコメントが発表されているようですね。
　責任者が悪事に手を染める可能性があるということは常に考えておかなくてはならないですね。（ここで、性善説や性悪説を持ち出さないでくださいね。。。　悪いことをしてしまう可能性は常にあるというだけの話ですから・・・。）
　責任者も、その上の責任者の部下なわけですから、責任者に対して統制を働かせないというのはないですね。

　財務報告に係る内部統制の評価と監査制度が始まると、情報システム部門の責任者が会計データ等に対する不正を行う可能性があるわけで、情報セキュリティも重要となってきます。
　特に、アクセス管理が重要となります。アクセス管理の基本は、
・必要な権限の範囲内でアクセス権を与える
・必要なアクセス記録を採取し検査する
です。Need to Knowや、Least Privilegeなどもこの基本に含まれると考えてよいです。

　そして、必要な権限を与える際の基本としての
・職務の分離(segregation of duties )
があります。

・誰が、どのような権限を持つべきか（職務の分離がはたらくように）
・誰が、どのようなデータ（プログラム）に対して、どのようなことを行えるのか
・設計したとおりに統制が利いていることを確認するためのログと、検査手続

ということを意識して、アクセス管理を考えればよいのではないでしょうか？

職務の分離という意味では、常識的には
・開発者（プログラムにアクセスできる人）と運用者（データにアクセスできる人）は分けておくべきです。
・チェックを受ける人とチェックをする人は分けておくべきです。

職責が高い人には多くの情報に様々な権限でアクセスできるようにする傾向が日本の企業にはあるかもしれませんが、それは大きな間違いですね。必要な権限を職務の分離の観点から考える必要があります。
　
どこまでするのか、という問題は常にあるのですが、それは月並みですが、リスクに応じて・・・ということになります。不正のリスク、財務諸表を間違えるリスク・・・、様々な観点から、リスクを考えてリスク受容できるまで対策をすることになります。そのためには、リスク受容のためのフレームワークを決めて対策を決めていくのがよいでしょう。PDCAの中で、フレームワークと意思決定の質の両方を改善していくことになります。
　100%絶対大丈夫とはならないので、このような事件は続くのですが、受容できるリスクの範囲内に収めるということは常に心がけておく必要はあると思います。

　リスクマネジメントや内部統制の基本を理解すると、その対象が、財務報告に係る情報であっても、個人情報であっても、営業秘密であっても、対応の仕方は同じということが理解できると思います。

●日経新聞
・2006.03.28 ＮＴＴデータ元社員、顧客情報基にカード偽造――17人分3100万円被害

●朝日新聞
・2006.03.29 ＮＴＴデータ元社員、カード偽造の疑い　被害３千万円

●読売新聞
・2006.03.28 ＮＴＴデータ元社員が詐取、偽造ローンカード使い

●毎日新聞
・2006.03.28 カード偽造：ＮＴＴデータ元社員、１７人分３千万円引出す

●産経新聞
・2006.03.28 ＮＴＴデータ元社員、仙台銀取引情報盗む

Comments

それでもって、責任者が複数そろわなければ、悪事ができないようにしておいた上に、最後は、先に自白したほうの刑を免除できるような仕組みにしておきましょう。

そうすれば、悪事の全貌が明らかになり、結果として、悪事を抑止できます。

そのような制度を堕落した制度とみる社会では、現実の被害をどう抑止するかという視点がそのまま落ちていくだろうと。

Posted by: ミスターIT | 2006.03.29 22:58

ミスターITさん、コメントありがとうございます。

＝＝＝＝＝
先に自白したほうの刑を免除できるような仕組みにしておきましょう。
＝＝＝＝＝

談合の防止と同じですね・・・。さすが、アイデア豊富です。使わせいただきます。仮に「ミスターIT式共謀防止策」としておき、お客様にもそのように説明しますが、良い名前があれば教えてください。

Posted by: 丸山満彦 | 2006.03.30 11:51

>「ミスターIT式共謀防止策」としておき

実は、上で触れたことは、高信頼性OSとかを議論するときに、それを支える社会組織として議論されていることだそうです。(囚人のジレンマでしょうし)

ですので、残念ですが、私のアイディアは全くはいっていません。

ただし、わが国では、そのような司法取引は、「事実を取引するもの」として「悪の制度」として認識されているような気がします。
(まあ、裁判は、事実をもとに裁判官が真理を語る崇高な営みですからね。社会のコントロール手段なのにね)

Posted by: ミスターIT | 2006.03.30 16:36

ミスターITさん、コメントありがとうございます。

認証局の秘密鍵を作る際のデュアルコントロールなどは、確かに複数の責任者が同時に実行する必要があるというのはあるのですが、

＝＝＝＝＝
先に自白したほうの刑を免除できるような仕組みにしておきましょう。
＝＝＝＝＝

ということを明確にルールにしているのはそんなに多くはないような気がします。

司法取引については、私も検討すべきだと思います。

Posted by: 丸山満彦 | 2006.03.31 00:00