三菱UFJ証券での大規模な顧客情報の流出は、セキュリティ教育などを徹底していたというにも関わらず発生した。「起きないことが前提」とする対策に限界が生じているようだ。 4月8日に三菱UFJ証券が発表した約148万人規模に及ぶ大規模な顧客情報の流出では、顧客情報データへのアクセス権限を持つ元従業員が不正な持ち出しを図った。同社によれば、情報セキュリティ研修を徹底していたが、元従業員の不正行動を防ぐことはできなかった。 顧客情報を持ち出したのは、元システム部部長代理の男性で顧客情報データベースへのアクセス権限を有する8人のうちの1人だった。データベースへアクセスする際にほかの従業員のIDとパスワードを使用し、持ち出す際にはデータのコピー権限を持つ別の従業員へ虚偽の説明を行ってCDにデータを記録させ、自宅に持ち帰ったとされている。 今回のケースについて、情報セキュリティ大学院大学の内田勝也教授は、