公開前の情報がネット流出、重大ミス防ぐ「5カ条」
増資や決算情報といった上場企業の公開前の重要情報がインターネット上で複数の投資家に閲覧されていたことが先週、明らかになった。この事態を受け、東京証券取引所はウェブサイトで情報を公開する時のセキュリティー対策や掲載手順などを徹底するため、上場企業約2300社を対象にアンケート調査に乗り出した。今後は東証や金融庁が協力し、「適切な手順を徹底しない、もしくは回答のない企業に対しては個別に対応していく」(東証)という。
一部企業のずさんな情報管理体制が浮き彫りとなった形だが、企業の情報管理担当者はどのような点に気をつけたらよいのか。専門家らへの取材をもとに、ネット流出事故を防ぐ「5カ条」をあげてみた。
「公開ディレクトリ」に死角
「『公開ディレクトリ』が何か教えて下さい」「公表資料を公表予定時刻よりも前に『公開ディレクトリ』に保存する運用を行っているが、アクセスコントロールは行っていません」……。
今月12日、東証は上場企業に対して、「ウェブサイト等のセキュリティに関する調査」を始めた。東証が挙げたポイントは、重要情報を公開する時の手順や、公表予定時刻前に外部者が閲覧できないようにするためのアクセス制限をかけているかといった4項目。東証のネット調査に対し、複数の企業担当者からは、上記のような質問やコメントが寄せられた。
東証が上場企業を対象に、情報公開についての手順などの調査を実施するのは初の試み。「統計としてまとめたいというよりも、各担当者に情報管理のためのチェックリストとして活用してもらいたい」(東証の広報担当者)という狙いがある。
質問の中にもあった「公開ディレクトリ」とは、企業が情報を蓄積するための管理サーバーのフォルダのうち、インターネットを経由して外部からアクセスができるフォルダのこと。今回は、この「公開」の認識に死角があった。
外部から重要情報が見られるようになっていた企業は、東証の適時開示情報伝達システム「TDnet」で公表する時刻に合わせて、自社のホームページにも掲載していた。あらかじめ、公表予定資料を「公開ディレクトリ」と呼ばれるフォルダに保存していたが、投資家らは過去のURLから公開される重要情報のURLを推測。閲覧したデータに基づいて、企業の銘柄を売買していたという。
管理担当者の認識甘さを露呈
通常、グーグルやヤフーなどの検索サービスは、検索エンジンの情報収集プログラム(ロボット)が、定期的に企業などのホームページを巡回。最新のサイトを拾い、自動的に掲載している。しかし、これらの検索サイト上には出てこないものの、直接URLを入力すると閲覧できてしまう場合がある。
企業の情報管理担当者は、今回、決まった時間に上げる情報を「公開」していなかったものの、外部からアクセスできるフォルダ上に移してしまっていたのだ。東証の担当者は、「アクセス制限をかけなければ、第三者が情報にアクセスできてしまうこと自体、認識していなかった担当者もいた」といい、それが盲点となっていたようだ。
証券取引監視委員会は、昨年夏ごろにシステム上で不自然な取引があり、重要情報が外部から閲覧できる状況になっていることを把握。監視委は、その後東証に対して注意喚起を促し、東証や大証、名証は10月に以下の項目を企業に留意点として通達した。
(2)トップページなどからリンクを付けていなくても、対象ファイルのアドレス(URL)を推測・探知するなどしてアドレスを直接指定してアクセスすることでファイルを閲覧することが可能
(3)以上の事態を回避するためには
・公表時刻までには公開ディレクトリに公表資料を移動しない
・公表時刻より前に当該資料を公開ディレクトリに保存する場合は、外部者が閲覧できないよう何らかのアクセスコントロールを行うなどの対策が必要
警告後も対処なしの企業も
通達直後の10月、東証は企業がきちんとアクセス制限をかけるなどの対処をしているかをチェックするため、企業のURLから推測、公開日時などを打ち込むなどの実験を実施した。
東証の担当者は「企業に警告したにもかかわらず、数社は外部から閲覧できるような状況だった。各社は決算直前に、外部からアクセスできるフォルダに置くため実際にはより多くの企業が対応できていない」と話す。
企業の情報セキュリティーが専門のNRIセキュアテクノロジーズの関取嘉浩・営業推進部マネージャーは、「1人の担当者任せになっている状況を絶対に作ってはならない。決まった時刻に自動でコンテンツを公表できるなどの機能を持ったシステムは、その機能を十分に理解しないで使用するのはやめるべきだ」と強調する。
また関取氏は、ファイナンシャルプランナー(FP)の資格試験の問題がインターネット上に漏洩した件も「問題の根本は変わらない」と指摘。企業に限らず、試験を運営する大学やNPO法人も同様に情報管理の運用の見直しが必要と警鐘を鳴らす。
東証が始めた調査に対しては、「投資家向け広報(IR)情報の自社ホームページの掲載は外部業者に委託している」という企業も多い。
委託先の運用フローなどを確認し、公開前に閲覧できる可能性をつぶしたり、また社内外の情報統制をより厳格に徹底したりする必要もある。同調査は26日に締め切られ、東証や金融庁、監視委と連携し、情報管理の厳格化を各企業に促すという。
株価に影響するような重要情報が、いとも簡単に外部から閲覧できるようになっていた今回の事態。株式市場や企業の信頼を損ないかねず、運用管理の見直しや徹底が求められている。
(電子報道部 杉原梓)
すべての記事が読み放題
有料会員が初回1カ月無料
関連記事
