一関信用金庫、元職員による私物USB持ち出しで個人情報漏洩の可能性-約1.8万人分の顧客情報が対象

2025年4月22日、一関信用金庫は、元職員による内部規程違反行為により、最大18,316名分の顧客の個人情報が外部に漏えいした可能性があるとして、公式に謝罪と報告を行いました。金融機関における情報管理の信頼性が問われる深刻な事案です。

事案の概要：元職員が個人情報を私物USBに保存し自宅へ持ち帰り

問題が発覚したのは3月25日、同金庫が日次で実施していた業務用パソコンのデータダウンロード状況の確認中のことでした。

調査により、当時本部勤務の役職者（4月8日付で退職済）が、個人情報を含む業務ファイルを私物のUSBメモリに保存し、自宅に持ち帰っていたことが判明しました。

さらに調査を進めたところ、別の私物USBにも保存された可能性があることが分かりましたが、当該USBは金庫による回収前に破損しており、情報漏えいの有無を確認するための追加調査が不可能という状況にあります。

漏えいの可能性がある情報の内容

影響対象者は18,316名に上り、漏えいの可能性がある個人情報は以下の通りです：

• 氏名、住所、生年月日、性別、勤務先、年収

• 電話番号、携帯番号、FAX番号、メールアドレス

• 口座番号、取引種目、取引残高などの情報

ただし、暗証番号やインターネットバンキングのID・パスワード、マイナンバー、本人確認書類の写し等は含まれていないとされています。

また、現時点で漏えいによる被害や不審な問い合わせの報告はないとのことです。

原因と今後の対応

本件の主な原因は、職員へのコンプライアンス教育の不足と、管理体制の不備によるものとされています。一関信用金庫は再発防止策として、以下の対応を取ると発表しました：

• 業務用PCからのUSB書き込み機能を即時遮断

• 個人情報管理体制の強化

• 職員の意識向上に向けた教育の再構築

• 対象顧客には書面で個別通知および謝罪を実施

また、今後も新たな事実が判明した場合は随時報告を行うとしています。

情報システム部門への示唆

この事案は、従業員による意図しない内部リスク（インサイダーリスク）とシャドーITの典型例であり、情報システム部門にとっては以下のような視点が重要です：

• 物理メディアの利用制限（USB禁止設定）の徹底と監視

• ログ監視による異常なデータ転送行動の検出

• 退職前後の端末・ストレージのセキュリティチェック

• コンプライアンス研修の定期実施と効果測定

• 職員に対する信頼と監督のバランスを保つ管理体制の構築

個人情報保護の強化が求められる昨今、このような事件は信用を著しく損ねる要因になり得ます。技術的な対策と組織文化の両輪で、リスクの低減に努める姿勢が改めて求められます。