松井証券の顧客口座から資金を詐取したとして、同社のシステム管理を請け負っていたSCSKのシステムエンジニア(SE)の42歳男性が3/24、警視庁に逮捕されました。顧客の株式を無断で売却した代金や口座の預かり金など約2億円が不正送金したという事件です。
事件の概要
松井証券の顧客210人分のログインIDやパスワードを不正に取得したうえ、そのうち15人の口座から不正送金を繰り返したといいます。この一連の不正行為は2017年6月から2019年11月まで、2年5カ月に及んでいます。
この社員はプロジェクトリーダー。システムの本番環境と開発環境の両方にアクセスできる権限を持っており、本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送。開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など、取引に必要な情報を不正に入手したようです。
そもそも事件の発覚は昨年の1月だそうです。身に覚えのない取引があったと、顧客から松井証券へ問い合わせが入りました。SCSKも協力して調査を実施し、同年9月にはこの不正行為について警察に告発しています。しかし調査も捜査も何でこんなに時間がかかるんでしょうね。
委託先社員の不正
日経の記事では「委託先社員の不正をどう防ぐか」、に焦点を当てていました。日本で受託開発や運用を主な業務とするシステム会社が多いのは「国際的には独特の構造」だそうで、米国では自社開発の割合が委託より高いんだそうです。
システム投資が事業を発展させるエンジンになる時代です。にもかかわらず、システム投資をITコストだと思っている企業がいまだに多いんですね。業績が芳しくないとすぐにコスト削減対象になります。すると自社で可能な限りシステム要員を抱えずに、開発・運用等はほとんど外部業者に委託、という構図になっていきます。だからDXも進みません。