東証 三菱UFJ証券株式会社に対する処分について: まるちゃんの情報セキュリティ気まぐれ日記(情報元のブックマーク数)
三菱UFJ証券による情報漏洩に関して処分が出ているとのこと。業務改善報告書というのを要求とのことで、これでよくなるのかな。(なわけない)
まるちゃんさんには、いつもお世話になりっぱなし、ありがたい情報ばかりです。
業務改善報告書には以下の内容を含まないといけないようです。。。
東証 三菱UFJ証券株式会社に対する処分について: まるちゃんの情報セキュリティ気まぐれ日記
① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
・部門別のけん制機能の確保
・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化
・不正行為の隠蔽の防止
⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
⑧ 個人データの安全管理のための実効性のある措置を確保すること
⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること