口座情報って安易に聞いていい情報なの?
先般、新聞報道がされていた三菱電機の不正アクセスによる取引先情報の漏洩事件。
三菱電機さんとは取引があるので職場で「大丈夫か?」と大騒ぎ。なので先日確認をしてみました。
「このたびはご迷惑ご心配をおかけして申し訳ありません。該当した場合には、詳細が分かり次第営業担当部署から御社にご連絡させていただきます」
漏洩した取引先に該当するかどうかは不明。連絡時期も未定で該当しなければ連絡はないから、これでは確認になりません。
なんだか懸賞の「当選のお知らせは商品の発送をもって代えさせていただきます」みたいなもの。当選がうれしくないところは大きな違いですが…。
「確認なさりたければ、銀行、支店、口座番号、口座名義の詳細情報をおっしゃっていただければお調べいたします」
確認には口座情報を提供が必要とのこと。
白か黒かの判定するために、口座情報を提供?どうやら口座情報を漏洩した当事者だという認識はあまりないようです。
情報をさらに出すわけにはいかない立場はわかりますが、確認のためには口頭で口座情報を軽々しく収集するのはいかがなものでしょう。
そういうところだぞ!
…とは言えませんでしたが、情報の取り扱いの安易さに、話を続けるのが気持ち悪くなって電話を切りました。
まぁ、企業なら口座情報は請求書に書いてあるのが当たり前。法人の口座情報なら漏洩しても実害はほぼないんですけどね。
ただ、個人的には口頭で口座情報のやりとりをする行為自体が好きではありません。
きっと個人にも同じ対応をしているなか、口頭でやりとりした相手に次にかかってくる電話が、口座番号を不正に聞き出す還付金詐欺だったらどうでしょう。ある意味、詐欺に間接的に加担する行為だと思うんですよね。
昨今では、銀行はもちろんのこと、役所ですらやらない口座番号を口頭でやりとりする会社は、非常識な会社と私は評価しています。
どこから流出した情報なのだろうか
今回の流出はクラウドサービスのOFFICE365への不正アクセスから。二重認証も構築氏していたようですが、基幹システムのセキュリティへのアクセスというより業務系のプラットフォームへの不正アクセスです。
私はITの専門家でないので、技術的な話には疎いですが、気になるのは仕組みよりも流出した情報の中身。
口座情報ということで、しばしば名簿化して使われる営業の顧客情報と異なり、通常は会計システムのマスタとして保有しユーザーが一覧で取り出すことが難しい情報です。
さらには約8,600件という中途半端な数。以前に某大企業と仕事をしたときに「仕入先のデータが1,000万件あってクレンジングができないんだよね」と言われ驚いたことがありますが、大企業の規模からすると少なすぎる件数です。
推察するに、システムのマスタデータ不正アクセスで流出したというより、どこかの担当者が作業や実績確認で抽出して無造作に置いたデータが流出したのではないかと思います。
以前に三菱電機に転職していった知り合いの話を思い出しました。
「うちの会社の事務系部門には、EXCEL職人がたくさんいるんですよ。普通の会社ならシステム開発するところを、関数やマクロなど駆使してエクセルで実現。システム開発が事業のひとつになっている会社とは思えないDIY感あふれるExcel王国ですよ。」
Excelのような表計算ソフトも昔に比べると機能が向上し、何でもできるようになりました。しかしながら、もともとはスタンドアローンで利用するために設計されたソフトウェアです。不特定多数の利用を前提にする場合には、しっかりしたセキュリティポリシーのもと、気をつかって作らなければなりません。
もしかしたら、今回の不正アクセスの背景にはそんなエクセル文化や、ぞんざいなデータの扱い方があったのかもしれません。
スイスチーズの数は十分か
作業安全などでよく使われる概念として、「スイスチーズモデル」という考え方があります。
リスク管理においては全てのリスクをカバーできる対策は現実的ではなく、どこかに穴が発生する。でも、複数の対策を重ねて設ければ、どこかですくって事故を防ぐことができるという考え方です。
三菱電機の不正アクセス事件は前回のミサイル情報に続いて2回目。流出ルートは違う領域のようですが、立て続けの情報漏洩となります。
2度も通り抜けてきたということは、そもそも会社として情報管理の意識が低く、チーズの枚数が足りていないことが原因のひとつなのではないでしょうか。
総合電機のなかでは業績面ではかなりの優等生ですが、パワハラ自殺など労務問題ではとびきりの劣等生の三菱電機。どうやらコンプライアンスなど、利益に結びつかないことは軽視するブラックな企業風土が問題の根底にありそうです。今後の改善を期待します。