文字サイズ変更大中小
東証からのニュース

三菱UFJ証券株式会社に対する処分について

2009/8/11 更新
印刷
[東京証券取引所]

当取引所は、三菱UFJ証券株式会社に対して、取引参加者規程第34条第1項第8号の規定に基づき処分(戒告)を行いましたので、お知らせいたします。

また、併せて、同社に対して、取引参加者規程第19条の規定に基づき、業務改善報告書(① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること、② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること、③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること、④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること(部門別のけん制機能の確保。外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保。不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化。不正行為の隠蔽の防止)、⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること、⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること、⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること、⑧ 個人データの安全管理のための実効性のある措置を確保すること、⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること、を含む。)の提出を請求しました。

違反行為の概要

個人顧客情報の管理をはじめとする内部管理態勢が十分でないと認められる状況

  • (1) 同社の元社員は、
    • ① 本年1月から3月までにかけて、
      1. 同社の顧客情報等の検索ツールを利用して、個人顧客情報(約149万件)を抽出し、
      2. 同社が社外から継続的に購入している情報(以下「本件一般情報」という。)のデータ処理を担当する外部委託先職員(以下「本件委託先職員」という。)に対し、当該データ処理に関して必要があると偽って、上記個人顧客情報をコンパクトディスクに保存させ、これを借り受け、
      3. こうして社外に持ち出した当該個人顧客情報の一部(約5万件)を、第三者に売却した。
    • ② また、本年3月、
      1. 本件委託先職員に虚偽の説明を行い、本件一般情報のデータ処理に関して必要があると偽って、本件一般情報が保存されたコンパクトディスクを借り受け、
      2. こうして社外に持ち出した本件一般情報を、第三者に売却した。
  • (2) これらの事案を生じさせた直接的な要因としては、以下の点が挙げられる。
    • ① 当該元社員については、顧客情報等の検索ツールの開発・運用等の実質的な責任者であったほか、本件委託先職員を指導する立場にもあるなど、個人顧客情報の不正持出しを可能とする一連の権限等が分断されていなかった。当該元社員への管理・けん制も十分ではなく、また、当該元社員による隠蔽行為も可能な状況であった。同社システム部は、内部者による不正行為の潜在的なリスクを認識していたが、監視の強化等の対応は途上であり、当該元社員の不正行為は監視対象外であった。
    • ② 本件委託先職員は、本件一般情報のデータ処理のため、同社では例外的に、一定の情報をコンパクトディスクに保存する作業を定例的に行っていた。定例作業以外でのコンパクトディスクへの情報保存やコンパクトディスクの貸出しを依頼する際には、所定の承認手続を経て行うこととされていたが、その確認が徹底されていなかった。
  • (3) 同社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。
    また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。
  • (4) 同社では、情報セキュリティ管理の総合的な運営のために「情報セキュリティ委員会」を設置し、経営陣も参加して議論を行っているが、リスク管理上の問題点について深度ある検討が行われたとは認められない。
    また、情報セキュリティ管理のための統括部署が設置されているものの、情報システムの管理はシステム部自身の所管とされており、けん制が働きにくい態勢となっていた。

証券会社は、事務リスクに係る内部管理態勢を適切に整備し、業務を健全かつ適切に運営することにより、信頼確保に努める必要がある。とりわけ、顧客情報は金融商品取引の基礎をなすものであり、個人情報保護の観点からも、その適切な管理が極めて重要である。しかしながら、個人顧客情報の管理をはじめとする当社の内部管理態勢は、上記のとおり、十分でないと認められる。

結果として、上記(1)①の事案を発生させた点については、

  • 金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第6号に規定する「その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合には、その委託先の監督について、当該情報の漏えい、滅失又はき損の防止を図るために必要かつ適切な措置を講じていないと認められる状況」に該当し、
  • 金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第14号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当し、並びに、
  • 個人情報の保護に関する法律第20条に規定する「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」及び同法第21条に規定する「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」に違反するものと認められる。

また、上記(1)②の事案を発生させた点は、金融商品取引法第51条の規定による「業務の運営の状況に関し、公益又は投資者保護のため必要かつ適当であると認めるとき」に該当するものと認められる。

処分実施状況
処分~違反者への対応~

お問合せ

株式会社東京証券取引所 企画マーケティング部 取引参加者室
電話:03-3666-0141(代表)