三井住友銀行では、投資銀行部門の業務特性を考慮したIT戦略について検討チームを組成の上、インフラに関する将来あるべき姿としてのグランドデザイン(全体像)の策定を行ってきたという。検討チームの結論として、投資銀行部門には開発スピードを重視したインフラの構築が必要ということになり、基幹システムとは別に、EUC基盤を構築することになった。
EUC(エンド・ユーザー・コンピューティング)とは、企業内のコンピュータシステムを利用して実際に業務を行うエンドユーザーが自らシステムの構築や運用・管理に積極的に携わること。
三井住友銀行のIT企画セクションでは、「投資銀行部門は、M&Aアドバイザリーの案件情報など、機密性が要求されるデータを取り扱うケースもあることから、IT部門のシステム保守要員であっても、閲覧してはいけない内容を見えないようにするための高度なセキュリティ対策が必要になる」と判断。
この判断を受け、2008年11月、通常の保守作業においてデータベースの保守担当者や外部の保守ベンダーが具体的な顧客名や顧客との折衝内容など機密性の高い情報を参照できないよう、「Oracle Database Vault」を利用して、データベース管理者から全業務データの参照権限を削除し、「Virtual Private Database」を利用して機密性の高い情報が格納される列に対する参照権限を削除した。この2つの組み合わせにより、投資銀行部門のEUC基盤に対して、より高度なセキュリティ対策を行うことができたという。
同セキュリティ強化プロジェクトは、オラクルのサポートとコンサルティングチームの支援により、企画を始めてから3ヵ月後の2009年1月に完了。同年4月には、M&A案件管理システムの本番運用を開始、また6月には金融商品取引法の改正に基づくファイアーウォール規制緩和対応を予定通りの期日で対応してきた。
本事例について、オラクルは、「三井住友銀行の投資銀行部門では、「EUC基盤を使ったスピーディーなシステム対応」と「情報漏洩を未然に防ぐためのセキュリティ対応」という両立の難しいテーマについて、オラクルのソフトウェアを使うことにより両立を実現した」との見解を述べている。
