2009年4月、大手証券会社三菱UFJ証券は、システム管理担当社員によって企業情報と顧客情報が不正に持ち出され、名簿業者に販売される顧客情報流出事故が発生したと公表。持ち出された顧客情報はおよそ150万人分、うち5万人分の情報が名簿業者などを含め、約80社に拡散した。流出情報には、氏名や住所の他、携帯電話番号、勤務先、役職、想定年収といったプライバシー性の高い情報も含まれていた。顧客から「投資用マンションや未公開株など、執拗な勧誘電話やDMが大量に来た」との相談があり、事故が発覚した。
同社では、売却情報に含まれていた顧客に、1万円相当の商品券による「お詫びのしるし」を送付、その後も勧誘電話などに関するケアを含め、相談窓口を継続的に設置。情報管理について社会的信用を大きく損ない、対策に多額かつ多大な犠牲を払った。一方で、顧客情報を入手した業者に、転売・拡散防止を求め法的処置を含めた対応を展開したが、完全回収や利用防止には至っていないと見られ、人的リスクによる情報漏洩の例となったばかりではなく、流出後の情報回収の困難さが改めて浮き彫りとなった。6月、事態を重く見た金融庁は、業務改善命令とともに個人情報保護法に基づく改善勧告を発した。事故を契機に、同社では情報取り扱いに関するシステム面や組織・制度面の体制強化とともに、社員教育の充実を図ることとなった。
情報持ち出しを行った元社員は、不正アクセス禁止法違反と窃盗罪により逮捕され、11月の初公判において懲役2年の実刑判決を受けた。犯行動機は、業務ストレスに耐えかねた浪費による借金返済とのことであり、人的リスクは教育のみならず、モラルリスクを起こさないよう、職責に見合う待遇やケア体制の整備などの課題も浮上した。