NTTデータの委託社員逮捕、取引情報を不正に取得しカード偽造：地銀共同センターでは緊急対策を実施

[＠IT]

　NTTデータは、同社が構築・運営する地銀共同センターの委託社員が窃盗の疑いで11月26日に逮捕されたことを発表した。取引情報を不正に取得し、偽造カードを利用してATMから現金を引き落とした疑い。

　NTTデータによると容疑者は、地銀共同センター構築の初期（2003年4月）からシステム開発に従事。同センターに関する多くの知識と経験を有していたという。

　地銀共同センターでは、金融庁の「オペレーショナル・リスク管理態勢の確認検査用チェックリスト」や金融情報システムセンターの「金融機関等コンピュータシステムの安全対策基準」、ISO 27001などの標準にのっとり、セキュリティ対策を実施してきたという。具体的には、暗号化やユーザーIDに基づくアクセス制御、アクセス／操作ログの保持といったシステム面での対策に加え、入退室管理やビル／マシン室入退室時の手荷物検査といった物理面での対策、運用要員の定期的なローテーション、開発／運用管理者による重要媒体の定期的な相互チェックといった運用体制の整備などだ。

　しかし、容疑者は地銀共同センターのシステムに精通しており、「高度で専門的な知識を使って、通常のシステム運用者、開発技術者では取得することができない情報を不正に取得したとみられる」（同社）。

　NTTデータは今回の事態を厳粛に受け止め、警察の捜査に全面的に協力するとともに、各種システムで適切なアクセス制限などの対策が実施されていることをあらためて再点検するという。また地銀共同センターでは、顧客の口座番号や暗証番号が記録されている重要な情報に対し、専用の「情報取得ツール」からしかアクセスできないようにする緊急対策を実施する。この情報取得ツールでは、顧客の暗証番号を全て「＊」と表示し、システム運用者や開発技術者が暗証番号を把握できないようにするという。