株式会社阿波銀行は6月3日、4月3日に公表した同行への不正アクセスによる顧客情報等の漏えいについて、続報を発表した。
同行では、OAシステムのテスト環境に不正アクセスがあり、同環境に保管していた顧客情報等の一部漏えいが判明したため、当該システムへのアクセスの遮断等の被害拡大防止策を実施するとともに、緊急対策本部を設置し、漏えい経路や影響範囲の調査を開始していた。
同行では、何者かがID・パスワード等を不正に利用し、外部から同行のテスト環境にアクセスしたことが直接的な原因であるが、調査の結果、同行における管理態勢上の不備が下記の通り判明したという。
1.テスト環境はシステム開発やテスト等の目的が完了した時点で廃止すべきであったが、その後も、AI活用のシステム高度化作業等のために利用されていた。
2.テスト環境に保管していた顧客データ等について、システム開発等が完了した後、速やかに消去すべきであったが、完了後も消去できていなかった。
3.テスト環境において、不正なアクセスを防止する仕組みが十分機能していなかった。
同行ではテスト環境について、警察による捜査終了後に速やかに廃止するとともに、行内の全ての情報システムについて見直しを行い、リスクの重要度・緊急度に応じて最新のセキュリティ対策を計画的に実施し、継続的なリスク低減に取り組むとのこと。
なお、同行では本件を厳粛に受け止め、業務執行および監督責任の所在を明確にする観点から、下記の通り関係役員および職員に対する処分を実施している。
1.関係役員の処分(報酬の減額)
三河広明氏(常務取締役):報酬月額の30%・1ヶ月
2.上記の他、本事案に関係した職員については行内規程に基づき厳正な処分を行っている。
3.本事案に関し、下記の通り代表取締役の報酬の一部を自主返納する。
福永丈久氏(代表取締役頭取):報酬月額の30%・1ヶ月
山下真弘氏(代表取締役専務):報酬月額の30%・1ヶ月
