イオン銀行(東京都)は6月3日、4月3日に公表した不正アクセスによる顧客情報漏えいの調査結果を発表した。本来廃止すべきテスト環境をAI高度化事業などに使い続け、消すべき顧客データも残っていたと判明。同社は管理態勢の不備を認め、副頭取ら3役員の処分を明らかにした。
同社は、不正アクセスの直接の原因を「何者かがID・パスワード等を不正に利用し、外部からテスト環境にアクセスしたこと」だとしつつ、自社の管理態勢にも問題があったと認めた。
原因として3つの不備を挙げる
1つ目は、廃止すべきだったテスト環境を残していたこと。この環境はOAシステム(社内で情報を共有するシステム)の開発やテスト用で、目的完了後もAIを活用したシステムの高度化事業などに使い続けていた。2つ目は、同環境に保管していた顧客データを開発完了後に消去すべきだったのに、消去できていなかったこと。3つ目は、同環境で不正アクセスを防ぐ仕組みが十分に機能していなかったことだ。
処分の内容
処分は、副頭取と山下真弘執行役がそれぞれ報酬月額の30%(1カ月分)を自主返納。三科広明執行役が報酬月額の30%を減額(1カ月)する。関係した職員も社内規定に基づき処分したという。
漏えいした情報の詳細
第1報によると、漏えいを確認した顧客情報などはのべ2万7745件。内訳は、2024年10月時点の法人向けインターネットバンキング契約先の情報が1万872件、21年3月末時点の個人情報が1万1122件、その他の顧客・関係先の情報が5751件だった。個人情報に関しては、うち5271件が配当金の受取口座番号を含む。一方、暗証番号やパスワードは含まれていないとしている。
同社は3月24日に外部のセキュリティ会社から漏えいの可能性について連絡を受け、調査を開始した。二次被害は確認しておらず、テスト環境は警察の捜査終了後に廃止し、社内の全情報システムを見直すとしている。
