全4375文字

システム障害と並び事業を停止させかねない経営リスクとなっているのがセキュリティー事故だ。コロナ禍でも「ドコモ口座」問題やGitHub上へのソースコード流出が耳目を集めた。ビジネスを優先したゆえの見通しの甘さや多重下請け構造のガバナンス不全などに原因がある。

 「十分な初動が取れなかった」――。NTTドコモの電子決済サービス「ドコモ口座」の事業責任者である田原務ウォレットビジネス部長は、ドコモ口座を使った預貯金の不正引き出しが相次ぎ判明した2020年9月当時をこう振り返る。

 大手マスコミがこぞって報じ、副社長の謝罪会見にまで発展。新型コロナ禍で最も注目されたセキュリティー事故と言える。

NTTドコモの丸山誠治副社長(中央)らは2020年9月10日に「ドコモ口座」への不正チャージ問題に関する会見を開き謝罪した
NTTドコモの丸山誠治副社長(中央)らは2020年9月10日に「ドコモ口座」への不正チャージ問題に関する会見を開き謝罪した
[画像のクリックで拡大表示]

 犯人は何らかの手段で被害者の銀行口座番号や名前、暗証番号などの情報を不正に入手。その銀行口座を犯人のドコモ口座にひも付け、不正にチャージした。被害は計11行、総額2912万円に上った。

図 「ドコモ口座」不正チャージのあらましとその後の対策
図 「ドコモ口座」不正チャージのあらましとその後の対策
本人確認の徹底などに新たに取り組む
[画像のクリックで拡大表示]

 「いろいろな銀行で同様の被害が発生しており、全体像をつかめなかった。現場が混沌とするなかで、被害者への対応や幹部への報告・相談などをどうするかが課題だった」。田原部長は続ける。「こうした事態を想定してすぐに動ける体制を平時からつくっておかなければならなかった」。

 ドコモは2021年1月29日、不正引き出し判明後に停止していた銀行口座の新規登録と銀行口座からのチャージについて、順次再開すると発表。2月3日にゆうちょ銀行から再開した。不正引き出しの判明から5カ月ほどが経過していた。

事前対策と事後計画、両方に不備

 セキュリティー事故におけるBCP(事業継続計画)のポイントは2つある。事故発生リスクを減らす「事前対策」と、万が一事故が起こった際の初動を早めるための「行動計画」である。