Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

野村証券の内部漏洩事件

考えてみた。

野村証券の内部漏洩事件が報じられていました。

www3.nhk.or.jp

証券最大手の「野村証券」は、顧客の金融機関など、270社余りの情報の一部を社員が別の証券会社に流出させていたと発表しました。
野村証券の元社員からの不正な働きかけに応じ、情報を漏らしていたということです。

発表によりますと、野村証券の社員は、かつての会社の上司で、いまは「日本インスティテューショナル証券」で働く元社員に対して、野村の顧客にあたる金融機関の情報の一部を流出させていました。

双方の会社によりますと、野村証券の社員はかつての上司からの不正な働きかけに応じ、ことし1月から7月にかけて複数回にわたって情報を漏らしていました

NHKニュース記事より引用)

 

公式発表

 

 

キタきつねの所感

野村証券の元従業員と従業員2名が引き起こした情報漏えいは、業界トップでもこの程度なのかと、証券会社全体の社員(コンプライアンス)教育レベルに不安を感じさせます

内部情報漏えいと言えば、美容師さんが元の顧客リストを持って独立する、といったケースはよくありますが、退社後に元部下経由で何度も情報を盗み出す、いわばスパイの様なやり方というのはあまり聞きません。

正確に言えば、そうした事件はあるのだろうと思いますが、表に出てこない事の方が多いかと思います。

 

野村証券(日本インスティテューショナル証券)の公式発表では、当該3名以外には情報は流出していないと発表されています。

なお、日本インスティテューショナル証券からは、今回流出した情報について二次流出等は確認されていない旨の調査報告を受けており、当社においても同様の認識をしております。

野村証券公式発表より引用)

 

では、今回の事件は「どこから」発覚したのでしょうか?

 

実はそんな事は、各メディアの記事にも2社の公式発表にも書かれていません

(以下過分に想像を含みます)

 

野村証券同僚が気づいて告発した、という事も考えられなくもありませんが、その場合は野村証券内部ですぐに報告するかと思います。

その場合、内容によっては野村証券内だけで処理されるでしょうし、今回の様に被害が大きければ、事前に警察に相談するかと思いますので、公式発表に「警察に相談し・・・」といった文言を入れるかと思います。よって多分違うかな・・と思います。

 

ではどこから?と考えると、漏えいした情報内容にヒントがある気がします。

流出させたのは275社の顧客の情報で、顧客が取り引きしているETF=上場投資信託の内容や、顧客と野村証券がやり取りした内容などが含まれるということです。

NHKニュース記事より引用)

 

当然の事ながら、元部下から情報を入手した、日本インスティテューショナル証券の元営業部長(営業チーム)は、その情報を使って、野村証券の顧客(275社)に営業をかけると思います。

この顧客の中にはもしかすると、元営業部長の野村証券時代の顧客が含まれているかも知れませんが、275社も担当していたとは思えませんので、その多くが「日本インスティテューショナル証券」側から見ると新規取引先(窓口)だったと思われます。

流出した顧客は金融機関が含まれていたとされていますので、例えば大手地銀A行の担当者の所に、元営業部長が訪問し、野村証券とやり取りした情報を使って販促されたとしたら、「自行の秘匿情報が漏えいした」とすぐに気づくのではないでしょうか。

 

想像になりますが、コンプライアンス意識の高い野村證券の顧客企業(金融機関)野村証券の上層部に「クレームを出した報告した」事から、事件が発覚したのかと思います。

数十社~数百社で、本来秘密なはずの情報を活用して営業をかけていれば、いくつもの顧客企業から野村証券に報告がされていても不思議ではありません。

 

この想像が正しければ、野村証券の元従業員と従業員2名は「想像力」に欠けていたと思います。

 

野村証券の従業員2名は、そもそも顧客情報を外部の人間に渡す時点で重大なコンプライアンス違反です。また、仮に元上司との間に(過去の)貸し借り関係があった、あるいは義理があったとしても、「足が付きやすい」顧客とのやり取り情報まで渡した場合、どうなるのかをよく考えるべきであり、元上司ではなく現在の上司にすぐに相談すべきだったと思います。

 

日本インスティテューショナル証券の元営業部長(元野村証券従業員)は、更に想像力が欠如していたと思います。野村証券と顧客企業の間でしか知りえない情報を使って営業をかけた場合、個人客ならいざしらず、法人担当にどういった影響を与えるのかをまるで考えてなかったのではないでしょうか。

 

(コロナ禍で)転職先の営業成績を焦ったなどの背景がある気がしますが、元部下まで巻き込んだ上で職を失い、裁判沙汰になるリスクを考えれば、もっと違ったやり方で営業活動をすべきだったかと思います。

 

余談です。野村證券去年から2回目の不祥事です。2019年5月に内部情報を不適切な形で漏えいしたとして、金融庁から業務改善命令を受けています。

この事件の特別調査チームの報告書には、再発防止策が色々書かれていますが、情報漏えいのパターンが違うとは言え、この時の改善策はあまり効果が無かった(機能してなかった)と言われても仕方がないのではないでしょうか。

 

不適切な情報伝達事案にかかる調査結果と改善策の公表について

Ⅰ.金融機関として社会が期待する役割に応える「コンダクト」の考え方を浸透させ、自ら規律を維持・向上させる態勢の構築

1. 「コンダクト」の考え方を浸透・定着させるための取組み
① コンダクトの定義付け
② コンダクト・リスクの概念についての理解を浸透させるための研修の実施
③ コンダクト・リスク低減に取り組む意識の啓発を継続的に行う

2. 評価制度の見直し
コンプライアンスを促進する行為を適正に評価することによる動機づけ
② 新たに設けるルールに反する不適切な情報の取扱いについてのコンプライアンス評価の明確化
コンプライアンス評価のフィードバックの義務付け

3. コンプライアンス・ホットラインの認知度・信頼度の更なる向上への取組み

(中略)

9. トップマネジメントが自ら進める改善策の完遂に向けた取組み
① 経営会議等のガバナンスの仕組みを通じた改善策の実施状況のモニタリング
トップマネジメント自身による改善策の浸透度合いの把握と更なる推進

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

証券取引のイラスト

 

更新履歴

  • 2020年9月10日 AM