ほとんどの人はまたかと感じたと思う。ただ、今度のことで思ったのは、犯人の部長代理が顧客情報に業務上アクセスする必要があったのかと言うことだ。銀行であれシステム会社であれ、管理職がコンピュータシステムに直接アクセスする必要は普通はない。
重要情報へのアクセス権は業務上必要な個人にだけ許可されるというのが大原則だ。例え部長であろうが、社長であろうが、職務上の権限と業務上の必要性はまったく別のものだからだ。
例えば僕の勤務先では部課長クラスはマシンルームへの入室権はないし、サーバーへアクセスするための管理用アカウントも持っていない。管理職は必要があれば部下に指示するので直接の業務上の必要性がないと考えられるからだ。
三菱UFJ証券のような大会社だから必ずCSO(情報セキュリティ担当役員)がいるはずだが、もし業務上必要のない人間が重要情報へ直接アクセスできるような体制を黙認、あるいは気づかなかったのなら責任を免れることはできないし、目が節穴と言われてもしかたないだろう。
2009年4月11日土曜日
三菱UFJ証券の顧客情報流出
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿