NTTデータが運用する地銀共同センターからキャッシュカード情報を不正取得された事件は、情報サービス業界の弱点を突いたものだった。窃盗の疑いで11月26日に逮捕された容疑者は、NTTデータからみて二次請けのシステム会社の従業員であり、業界の多重下請け構造のなかで、「セキュリティ教育が十分でなかったといわざるを得ない」（NTTデータの岩本敏男社長）という実態が表面化した。情報サービス業界は多重下請け構造によって支えられている側面がある限り、いつ、どこで同様の事件が起こっても不思議はない。

　申し訳ありませんでした──。NTTデータの岩本敏男社長と植木英次執行役員第二金融事業本部長は、容疑者逮捕の翌日、深々と頭を垂れた。キャッシュカードの取引情報を不正に取得されたのは、NTTデータの戦略事業である地銀共同センターである。地銀の基幹業務システムはNTTデータが全国の約3割のトップシェアを獲得してきた分野であり、地銀共同センターは15行から受注。うち13行が実際に本番稼働している。複数行が絡むだけに影響は大きい。さらにいえば、NTTデータにとって共同センターはクラウド型のサービスに通じる重点事業。従来の個別システムの受託開発からクラウド方式のサービス事業へとシフトする原動力でもある。

　容疑者はNTTデータからみて二次請けのディスタンスの従業員で、地銀共同センター構築初期の2003年4月から10年近くソフトウェア開発に従事しているベテラン技術者だった。NTTデータにとってショックだったのは、この技術者には「本番環境にアクセスする権限はない」（植木執行役員）にもかかわらず、結果的に本番システムからキャッシュカード情報を不正に取得していた点である。

　銀行の基幹システムのような高度な情報セキュリティが求められる分野では、通常、ソフトウェアの中身を熟知するソフト開発技術者と、実際にシステムを運用する運用担当者は、組織を別々にして権限も分けている。一般に、開発者はダミーデータを使ったり、口座番号やIDを隠した状態でシステムを開発する。今回のケースでも、開発と運用を分ける原則は貫かれていたはずだった。しかし、実際は大がかりなシステムアップデートのときは、運用担当者だけでなく、開発者も本番機が稼働するセンターで立ち会うことがあったという。本番機に近づいた間隙を突くかたちで、容疑者は何らかの手段で情報を引き出してキャッシュカードを偽造したのだ。そして、複数の口座からおよそ2000万円を引き出した窃盗の疑いで逮捕されるに至った。


　もう一つ問題視されているのが、容疑者がNTTデータからみて二次請けの会社の従業員だったことだ。情報システムは開発フェーズで大量の人手が必要になるので、現時点では多重下請け構造の支えなしには成り立たない。ただ、NTTデータはコスト競争力の向上や情報セキュリティの観点から、できる限り多重下請けの階層の圧縮に努めてきたSIerである。先代の山下徹前社長時代から精力的に取り組んでおり、近年ではソフト開発や検証の自動化による工数削減に多大な投資を行っている。

　業界全体を見渡しても、ひと昔前まで残っていた六次請け、七次請けの階層構造はさすがにみられなくなったが、二次請け、三次請けまでは依然残っている。実際問題として、元請けの目が行き届くのは直接の委託先までであり、さらにその委託先となると管理するのは容易ではない。請け負い受注の方式であれば、独立会社である請け負い先の経営に干渉するのは御法度。そのために情報セキュリティの標準化や、基準を設けて一定水準の品質や安全性を保つ仕組みがあるのだが、残念ながら万全ではなかった。NTTデータは、「当社はもちろん、協力会社も含めて情報セキュリティ対策を再点検する」（岩本社長）と再発防止に全力で取り組む。多重下請け構造の弱点が露呈したかたちになった今回の事件は、NTTデータだけの問題ではなく、情報サービス業界全体で再点検が強く求められそうだ。（安藤章司）