NTTデータ委託社員の不正事件、下請け依存に重いツケ

銀行システムの信頼性の根幹を揺るがす事件が起きた。NTTデータの孫請け会社のシステムエンジニア（SE）が、同社が運営する複数の地銀の情報システムを統合した「地銀共同センター」に不正アクセスしてキャッシュカードを偽造。他人の口座から現金50万円を引き出したとして、京都府警に逮捕されたのだ。システム開発・運用に下請けを使うのはNTTデータに限らない。他の情報システム大手にとっても対岸の火事では済まされない。

「再発防止に向けて、全社をあげて取り組んでまいります」――。27日夕。事件を受けた緊急記者会見の席上、NTTデータの岩本敏男社長は深々と頭を下げた。続いて第二金融事業本部長の植木英次執行役員が事件の経緯を説明した。

会見は「捜査中なのでお答えできない」の一点張りで、具体的な犯行の手口は判然としないが、京都府警の調べやNTTデータの説明によると、事件のあらましはざっとこうだ。

逮捕された宮口正容疑者（58）は、NTTデータの孫請け会社の社員で、地方銀行13行が加盟する地銀共同センターの開発を担当する技術者だった。「センター構築初期の2003年4月からシステム開発に従事しており、システムに精通していた」（植木執行役員）という。

宮口容疑者はソフト開発技術者で、銀行間の対外接続を担当するチームに所属していた。システムの運用は別に担当者がいるため、通常は稼働中のシステムに近づけない。

だが例外があった。新機能の追加などでシステムを改変するタイミングだ。地銀共同センターは「大きな改変は年に3回、小さな改変はほぼ毎月ある」（植木執行役員）。システム改変直後は正常に作動するかを監視するため、開発技術者が運用の現場に立ち会うのだ。

宮口容疑者は自ら担当するシステム改変のさい、普段は入れないシステムの「運用ゾーン」に許可を得て入室。10～20人が作業するなか、堂々とシステムに不正アクセスし、他人の口座番号、暗証番号を盗み取った。そのデータをキャッシュカードに入力し、偽造カードを作製したのだ。

むろん、宮口容疑者にシステムにアクセスする権限はない。だが、「システムにある脆弱な部分があり、そこを狙い、高度で専門的な知識を使ってアクセスした」（植木執行役員）。

逮捕容疑は9月17日、横浜市の三井住友銀行のATMで偽造カードを使って京都府の男性の口座から50万円を引き出した疑い。男性が「口座から勝手に現金が引き出された」と警察に相談したことで発覚した。

　府警は6～11月に17口座から約2000万円が引き出されたとみているが、それ以前の犯行を追跡するのは難しいようだ。取引データやATMの監視カメラ映像など、犯行を裏付けるデータの保存期間に限りがあり、一定期間を過ぎると消してしまうからだ。宮口容疑者がずっと以前からシステム改変のたびに同じ手口で預金を引き出していた可能性も否定できない。

薄ら寒さを覚えるのは、システムを運用するNTTデータも金融機関も、偽造カードによる預金の不正引き出しに気付かなかったことだ。府警からNTTデータに捜査への協力要請があったのは11月20日。岩本社長が事件を知ったのはこのときだという。翌21日には社内に対策本部を設置して社内調査を開始。宮口容疑者は26日に逮捕された。

植木執行役員は会見で「10月半ば以降、参加行から不正な取引が出ている可能性があるとの問い合わせを受けた。警察から参加行に不正な偽造カードでのキャッシングが発生しているという問い合わせがきたと聞いている」と語った。NTTデータがいつ異変を察知したかを裏付ける重要な発言だが、広報部は翌28日、この発言を取り消した。「取引の内容確認の問い合わせはあったが、通常業務の範囲内の質問で、通常どおり対応した」（広報部）という。この問い合わせが結果的に今回の不正引き出しと関係があったかについては「確認できていない」（同）。事件の経緯を正確に把握できないようでは、企業として当事者意識が薄いと思われても仕方がないだろう。

そもそも孫請け会社の技術者がなぜ、重要システムに精通しているのか。それはIT（情報技術）産業の業界構造に深く関わる。「システム開発は仕事量が膨らむときとそうでないときの山と谷が大きいビジネス。パートナーと一緒に仕事を進めていく形態を取る」（植木執行役員）。自社では手が回らないときや、自社のコストでは採算が合わないとき、"調整弁"として中小のシステム会社を使うことが常態化している。

NTTデータは担当役員を置いて情報セキュリティー推進体制を敷き、顧客情報を安全に取り扱う対応を実施してきたという。だがこれは社内に限った話。下請けに対しては「プロジェクトに必要な教育はしていたが、NTTデータと同等の教育がパートナーの皆さんにできていたかというと、できていなかった」（植木執行役員）。

再発防止に向け、NTTデータは緊急対策としてまず、顧客の口座番号や暗証番号が記録された重要情報は専用ツールがないとアクセスできないようにして、他の侵入経路をふさぐ。金融機関向けを手始めに、同社が提供するシステムのセキュリティーも再点検する。

下請けにも本体並みのセキュリティー教育を実施するのか。岩本社長は「どこまで私たちができるのか、（事件の）結論が出た後に考えたい」と語るが、表情には苦渋の色がにじむ。セキュリティー対策は強化するほど手続きや作業が複雑になる。顧客のビジネスを止めない機動的なシステム改変がやりにくくなり、コスト上昇要因にもなり得るからだ。

事件が業績に与える直接的な影響は軽微とみられるが、NTTデータは「信用」という、より重要な財産を失った。就任からわずか5カ月の岩本社長は自らの経営責任についてこう語った。「事件が起こったのは大変残念だが、むしろ私たちの責任はそれを乗り越えること。セキュリティー強化と運用効率の調和をとったシステム運用をきちんとしていくことがわたしたちの経営責任。そこをご理解いただきたい」

（産業部　鈴木壮太郎）