全1493文字
PR

 2021年3月24日に、SCSKの元社員が松井証券の顧客口座に不正にアクセスして約2億円を引き出したとして警視庁に逮捕された。SCSKは松井証券から証券取引システムの開発や保守運用を請け負っており、システムエンジニアの元社員はプロジェクトリーダーを担当していた。

 SCSKの説明によると、元社員はシステムの本番環境と開発環境の両方にアクセスできる権限を持っており、本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送するなどして、犯行に及んだという。相互牽制の仕組みなど管理体制はどうなっていたのかと驚く。

 実は「軽い」驚きを感じたことがもう1つある。逮捕された元社員は2002年の入社以来、松井証券のシステムを専任で担当してきたというのだ。つまり、19年の長きにわたって松井証券専任の技術者として働いてきたわけだ。

 あえて驚きを「軽い」としたのには訳がある。ユーザー企業、特に金融機関がシステムの保守運用などを外部委託する場合、ITベンダーは特定の技術者に長期間担当させることが多いからだ。19年はさすがに長いが、まさに「SCSKよ、お前もか」である。

 この事件の報道に接して思い出した別の事件がある。2014年に横浜銀行で、ATMの保守業務を担当していたITベンダーの元社員が顧客口座から預金を不正に引き出すという事件があった。逮捕された元社員は入社以来、実に30年近くにわたって横浜銀行を担当していたという。

社員を「客先」に置き去りにするな

 ユーザー企業からシステムの保守運用などを委託されたITベンダーの技術者が不正行為に及んだ際、その「温床」としてよく語られるのがIT業界の多重下請け構造だ。契約が何重にもなるので、ユーザー企業の監視の目が届きにくいといった指摘だ。その指摘を否定するわけではないが、むしろ特定の技術者にシステムの保守運用などを長期間にわたって担当させることのほうが問題なのではないか。