今回は証券会社のセキュリティーについて話します。

セキュリティーには色々な項目がありますが、内部向けのセキュリティーについて紹介したいと思います。

証券会社はお客様の個人情報を扱っているので、高レベルなセキュリティーを誇っています。
セキュリティがしっかりしていないと大切な資産を預ける気になりませんし、大切な個人情報を教える気にもなりませんよね。

主な対策

まずは、従業員やパートナー企業への対応です。

現在の考え方は、内部に悪意を持った人物が居た場合でも、
・情報漏洩を食い止める
・万一流出した場合でも流出ルートを特定する
と言う考え方でセキュリティー対策を行っています。

開発者への対応

ここで言う開発者は、IT部門やITベンダーになりますが、基本的に顧客情報や取引内容を見ることができません。
開発者が参照できるネットワーク(開発環境と呼んでいます)と証券会社の実業務を行うネットワーク(本番環境と呼んでいます)は完全に分離されており、開発者からは本番環境を見ることができないようになっています。
業務上、本番環境でデータを確認する必要がある場合、専用の端末室(本番端末室と呼ばれています)でのみ参照することができます。
本番端末室に入室する際も、IDカードや指紋認証が必要ですし、入退室時間も記録されます。
内部で行う作業も、誰が・いつ・何の情報を参照したか全ての内容が記録されています。

営業担当者への対応

証券会社の窓口や営業担当についてもセキュリティー対策は存在しています。
職務の関係上、顧客情報を頻繁に参照する事がある場合でも、日々の業務はすべて記録されます。
参照権限も細かく設定されており、業務に関係のない情報は一切見れないようになっています。
例えば営業店の職員は、他の営業店の情報を見ることはできませんし、営業店内でも担当業務毎に参照権限が細かく設定されています。
参照している情報は、日々アルゴリズム解析がされており、急に顧客情報を取得した場合、アラートが上がるようになっています。

情報の持ち出しへの対応

悪意ある内部者が万一情報を取得した場合を考えて、情報の持ち出しについても色々な制約がかかっています。

本番業務で使用しているパソコンは、USB等のポートは使えないようになっています。
外部メールもチェックされているので、メールで情報を持ち出すこともかなり難しいです。
業務でやむを得ず情報の持ち出しが必要な場合でも、誰が何の情報を持ち出したかすべて記録されます。
自分の行動は全て記録されている = 情報を漏らすと自分が犯人だとバレる
と言う仕組みを作ることで、情報漏洩の抑止をはかっているのです。

今後のセキュリティーの強化について

情報セキュリティは直近15年でかなり強化されました。
私が入社した当初は本番端末室への入室も、自宅へのメール送信も特に制限はありませんでした。
当時は内部に悪意を持った職員はいないと言う前提で業務が成り立っていたのです。
ところが、情報漏洩が起こり、内部者が犯人として捕まるケースが発生したころから情報セキュリティーが強化されていきました。

セキュリティーが強化されると仕事の効率は下がりますが、お客様の信頼をなくす方が企業としてのダメージは大きいと言う判断ですね。

今後も、情報セキュリティーの見直しは進んでいくと思いますが、その原因が内部者と言うのは無しにしてほしいものです。