キャッシュカードの取引情報の不正取得について

2012年11月に、京都府警からNTTデータに対して、金融機関のキャッシュカードが偽造され、ATMから不正に現金が引き落とされた被害が発生した件につき捜査への協力要請があり、当社は全面的に捜査に協力しています。警察からの捜査要請にもとづく社内調査の結果、当社が運用する地銀共同センターから「利用者がATMでカードを利用した際の取引情報」の一部が不正に取得された可能性があることが判明しました。

詳細な手口の調査については警察の捜査に協力していきますが、被害に遭われた方をはじめ、多くの金融機関の皆様に、ご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。今後再発防止に向けて、全社をあげて取り組んでまいります。

本件の詳細ならびに今後の対策について下記にご報告いたします。

記

容疑者は、NTTデータの委託先会社に所属する技術者として、地銀共同センター構築の初期（2003年4月）からシステム開発に従事しており、当センターに関する多くの知識と経験を有していました。

ATMを利用した、地銀共同センター参加行と提携金融機関の間での取引情報が不正に取得されました。

偽造カードの作成、およびその偽造カードを使ってATMから現金を引き出すためには、口座番号および暗証番号の情報を取得することが必要です。

容疑者は地銀共同センターのシステムに精通し、かつ高度で専門的な知識を使って、通常のシステム運用者、開発技術者では取得することができない情報を不正に取得したとみられます。詳細な手口については、警察の捜査に協力し調査を進めています。

地銀共同センターは、金融庁の金融検査マニュアル「オペレーショナル・リスク管理態勢の確認検査用チェックリスト」、（財）金融情報システムセンターの「金融機関等コンピュータシステムの安全対策基準」、ならびに、ISO27001適合審査基準にのっとったセキュリティー対策、ISO20000適合審査基準にのっとった内部統制管理策を講じた上で、定期的な内部監査ならびに外部監査、ISO審査を実施してまいりました。

具体的には、重要情報に対する情報漏洩/不正取得への防止として、「別紙」のように、各種管理策を実施してまいりました。

顧客の口座番号や、暗証番号が記録されている重要な情報に対しては、専用の「情報取得ツール」のみがアクセス可能となるように限定することにより、不正にアクセスできないようにします。

NTTデータは、情報セキュリティー担当役員のもと情報セキュリティー推進体制を敷いており、これまでもお客様からお預かりした情報を安全に取り扱うための対応を誠実に実施してまいりました。

しかしながら本件のような事態を事前に防げなかったことを厳粛に受け止め、お客様からお預かりした重要情報の不正な持ち出しを防止するため、当社が提供する各種システムにおいて、適切なアクセス制限等の対策が実施されていることを改めて再点検いたします。

以上