「金融庁は金融機関の情報システムを統制するかなり強い権限を持っている」
こう話すのは、みずほ証券コンプライアンス統括グループ情報セキュリティ管理部の内田豊ディレクターだ。主に、金融商品取引法に基づき、金融庁は証券会社を含め様々な指導ができるようになっている。
例えば、野村證券は2008年、企業が公募増資するとの情報を事前に漏らすというインサイダー取引事件を引き起こした。こうした事件が起きると、金融庁は当然ながら当該証券会社だけでなく、みずほ証券を含めた同業者も含めて指導しようとする。
みずほ証券コンプライアンス統括グループ情報セキュリティ管理部の内田豊ディレクター
「航空機メーカーなどと同様に金融機関におけるシステムトラブルは、場合によっては致命的なものになる」(内田氏)ため、金融庁はもちろんのこと、証券会社としては情報システムの安全性など質的な水準確保は自主的に実施していく必要があるという。
そこで内田氏は、みずほ証券のセキュリティ担当者として、安全性の確保に向けた様々な取り組みを実施した。「外部からの攻撃より、内部からの漏えいの方がずっと多い」と話す同氏。内部から情報が漏れるケースで最も多いのがメールを経由するものだ。
特に、悪意がある社員というわけではなく、まじめな社員が過失によって情報をもらしてしまうケースが目立つとのこと。2月19日にZDNet Japanが主催する無料セミナー「ZDNet Japan セキュリティフォーラム--情報漏えいの対策の現実解は? システムで“正しく”リスクと向き合うアプローチ」において、内田氏は特にこの過失の防止に焦点を当て、みずほ証券の情報システムにおける取り組みを紹介する予定だ。
電子メールを送信する際、誤送信がないかを綿密にチェックする「強制自己再監システム」と呼ぶ仕組みなど、みずほ証券は情報セキュリティを確保する一方で、業務の効率性をなるべく落とさずに運用していく方法を模索し続けた。
時には課題に直面し悩むこともあったという内田氏だが、1988年に旧山一證券に入社して以来、ISO9001導入コンサルティング、銀行システムの品質管理など一貫してセキュリティ確保を意識しながら情報システムに携わってきた経験を最大限に生かし、解決していく考えだ。
たった1つのメールの誤送信が、会社の信用を根底から崩すことになりかねない金融業界において、セキュリティを担当することの難しさと意義を内田氏本人の言葉で聞ける今回のセミナーは、企業の情報セキュリティの在り方を考える担当者にとって価値あるものになるはずだ。