三井住友FG 11万人以上顧客情報 第三者が閲覧できる状態に

本件もSalesforceの設定不備とのこと。
数年間にわたり第三者が閲覧可能な状態だった、というところが、昨今のCommunityCloudの設定不備に関する事案とは少し毛色が異なります。

こうした事案が起こると、やはり気になるのはシステム運用・管理。

クラウドは設定1つで何でもできる反面、設定を漏らせば大きな事故につながるので、その内容や運用についてはきちんとした検証や管理が不可欠。

”クラウドファースト”と、華やかな先行事例を鵜呑みにして、企画偏重で開発・運用軽視の、リリーススピードのみを競う風潮が金融業界には蔓延しているような気がしてならない。
みずほのトラブルにも、システム影響の見積りを見誤った背景には、デジタル口座のリリース計画が迫っていた側面も否定できないと思う。

金融システムは利便もさることながら安定安全が基本。
いまいちど、金融業界として適切なシステム運用を考え直す時期にあると思う。

パスワード管理ほどではないものの、通常セキュリティ基準を一段上とする個人情報がこれほど簡単に、かつ長期間漏洩していたとはにわかに信じがたい。SaaSの利用が浸透してきた一方で、それに対するセキュリティ対策について、情報システム部門にて十分にナレッジが溜まっていなかったからか。

「顧客の情報が数年間にわたり第三者に閲覧できる状態にあった」のだそう。しかも、氏名や生年月日だけでなく、暗証番号が閲覧された可能性があるとも。
今の所被害にあったという申し出はないようですが、数年間も気がつかなかったというのは管理に問題があると感じます。

最近こういったニュースが増えてきた気がするのですが、そのほとんどが「不正利用された形跡はない」とか「被害の心配は無い」と締めくくられています。

…本当ですか？