キャッシュカード取引情報の不正取得に関する調査結果および再発防止等について

当社の運営する地銀共同センターに勤務する再委託先の技術者がキャッシュカードの取引情報を不正に取得した件では、被害に遭われた方ならびに、多くの金融機関の皆さまに、ご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

当社では、2012年11月21日に対策本部を設置し、警察の捜査に全面的に協力するとともに、本件に関わる内部調査を進めてまいりました。また、11月27日には再発防止委員会を発足させ、全社的な再発防止策を検討・実施しているところです。

昨日容疑者が支払用カード電磁的記録不正作出等の容疑で再逮捕され、捜査当局から発表されたことを受け、当社の内部調査の結果および今後の再発防止に向けた取り組みについて、ご報告いたします。

記

容疑者は、NTTデータの再委託先会社に所属する技術者で、地銀共同センター構築の初期（2003年4月）から銀行間取引業務のシステム開発担当者として勤務しており、当該システムに精通していました。

当センターにおいては、取引情報に含まれる暗証番号等の重要情報は、原則として暗号化またはマスキング^注処理によるセキュリティー対策を施し格納しています。

一方、「システム基本情報」の領域には、システム故障時等の調査・復旧作業に必要となる取引情報が存在します。

この情報には、通常、システム開発担当者はアクセスできません。故障調査・復旧作業の必要がある場合のみ、開発担当者は許可を得たうえで専用の「情報取得ツール」を介してこの情報にアクセスすることができます。その場合においても、この「情報取得ツール」が暗証番号をマスキングして出力する仕組みとなっています。

今回、容疑者は、高度な専門知識を利用して不正処理を実行し、マスキングされていない暗証番号を「システム基本情報」内から取得しました。

なお、容疑者は、当該情報の一部をもとに、同センター内の試験機器でキャッシュカードを偽造したものと推定しています。

容疑者が不正に情報取得したことを、直ちに検知できなかった理由は以下の通りです。

開発担当者が、システム基本情報等の重要な情報にアクセスする場合は、必ず複数人で作業を行う運用としておりましたが、担当者相互の監視が十分ではないタイミングが存在しておりました。

また作業者は、実施した作業内容を必ずその証跡とともに運用管理責任者に提出しチェックを受ける運用となっていましたが、容疑者は不正な作業を行った結果を隠ぺいしたため、運用管理責任者が検知することができませんでした。

加えて、顧客情報など重要な情報へのアクセスについてはモニタリングを実施しておりましたが、今回情報が不正取得された「システム基本情報」においては、モニタリングに不十分な点があり、不正取得を速やかに検知することができませんでした。

地銀共同センターでは、今回の情報が不正に取得されたことおよびそれを検知できなかったことに対し、以下の対策を講じました。

以上に加え、地銀共同センター参加行とも協議のうえ、さらなる再発防止策を検討してまいります。

なお、当社が運営する類似システムに対しても緊急点検を実施し、問題がないことを確認しています。

加えて、当社では、2012年11月27日より、情報セキュリティー担当役員（CISO）を委員長とする再発防止委員会を発足させ、以下の観点でセキュリティーのさらなる強化を検討しております。

この検討結果を基に、NTTデータグループ全社において運営している類似のシステムに対する点検と再発防止策の策定を3月末までに実施します。

これまで当社は、情報セキュリティーの確保およびコンプライアンスの徹底に向けたさまざまな取り組みを行ってまいりましたが、このたびこのような事態に至ったことは、誠に遺憾であり、深く反省しております。

システムの安定運用は、当社に課せられた使命であり、再びこのような事態が起こらないよう、よりセキュリティーの高いシステム構築、システム運用に向けてNTTデータグループ全体として取り組み、お客さまや社会に一層の貢献をしてまいります。

以上