阿波銀行、不正アクセスによる顧客情報漏えいの調査結果を発表、役員処分も

阿波銀行（徳島市）は6月3日、4月3日に公表した不正アクセスによる顧客情報漏えいの調査結果を発表した。本来廃止すべきテスト環境をAI高度化作業などに使い続け、消すべき顧客データも残っていたと判明。同行は管理態勢の不備を認め、福永丈久頭取ら役員の処分を明らかにした。

同行は、不正アクセスの直接の原因を「何者かがID・パスワード等を不正に利用し、外部からテスト環境にアクセスしたこと」だとしたうえで、自社の管理態勢にも問題があったと認めた。

原因について3つの不備を挙げた。1つ目は、廃止すべきだったテスト環境を残していたこと。同環境はOAシステム（行内で情報を共有するシステム）の開発やテスト用で、目的完了後もAIを活用したシステムの高度化作業などに使い続けていた。2つ目は、同環境に保管していた顧客データを開発完了後に消去すべきだったのに、消去できていなかったこと。3つ目は、同環境で不正アクセスを防ぐ仕組みが十分に機能していなかったことだ。

処分は、福永頭取と山下真弘専務がそれぞれ報酬月額の30％（1カ月分）を自主返納。三河広明常務が報酬月額の30％を減額（1カ月）する。関係した職員も行内規定に基づき処分したという。

第1報によると、漏えいを確認した顧客情報などはのべ2万7745件。内訳は、2024年10月時点の法人向けインターネットバンキング契約先の情報が1万872件、21年3月末時点の株主情報が1万1122件、その他の顧客・関係先の情報が5751件だった。株主情報に関しては、うち5271件が配当金の受取口座番号を含む。一方、暗証番号やパスワードは含まれていないとしている。

同行は3月24日に外部のセキュリティ会社から漏えいの可能性について連絡を受け、調査を始めた。二次被害は確認しておらず、テスト環境は警察の捜査終了後に廃止し、行内の全情報システムを見直すとしている。