三菱UFJ証券での情報漏洩インシデント対応とかの反応記事

たしかに三菱UFJ証券側も、26日には情報管理部門の「組織変更」を発表し、いちおう動きは素早い。また、情報流出の顧客への1万円ギフト券の発送ととも、流出データの回収にも努めている。とはいえ流出先71社から拒まれるなど先行きは難しいようである。

　さらには、個人だけでなく法人の顧客離れや、米モルガン・スタンレーとの統合への影響を懸念する声もあるという（参照：「顧客情報流出：ずさん管理、信用に大打撃…三菱UFJ証券」　毎日jp 6月25日）。まさに「三菱UFJ証券を揺るがす」大事件といっても過言ではない。

　にもかかわらず、どう考えても「事件そのものはおソマツ」すぎる。報道によれば、動機は借金。犯行方法といえば、削除漏れ（＝忘れ？）IDを使ってのアクセス、顧客データを社内サーバに移動したうえで、記録保存を担当する社員に口頭で指示し、CD-ROMに保存してもらい持ち帰ったらしい（参照：「元三菱UFJ証券社員の顧客情報売却：逮捕の元部長代理、口頭で情報保存指示」　毎日jp 6月26日）。

http://www.nikkeibp.co.jp/article/column/20090703/164966/

タコとか言っているが、システム管理者のパスワードが共有で共通だったりすることを理解していないのか？

あえてできてる会社であれば、休眠アカウントや退職者アカウントをロックアウトしてHoneyPot化して情報漏洩しようとする人を待ちかまえているかもしれない。

もちろん、組織であるからには指示系統や責任の所在は必要である。しかし、組織運営としては「嘱託や派遣も正社員も仕事（セキュリティ対策）のうえでは平等に責任を分かちあう」べきである。その観点からの組織改革や業務改善も、再発防止には欠かせない。

　それにもかかわらず、「移動した嘱託社員のIDが削除されてなかった」が問題視されているような傾向がある。問題はあるとしても、休眠IDは皆無というシステムなどないだろう。移動や転属と自動的に連動して削除する仕組みなど、あまりにも怖い。連絡が遅れたり削除のルーチンのタイミングや、それを指摘する新聞社の内部システムにだって、休眠IDの一つや二つあるだろう。

http://www.nikkeibp.co.jp/article/column/20090703/164966/?P=6