まだ終わらない「ベネッセ個人情報漏えい事件」に思うこと

コメントをどうぞ

 こんにちは。
当サイト管理人のAsterismです。

 今日から10月です。今年も残り残り3か月です。
私が6月から9月までに起きたことで思い浮かぶのは、当サイトを立ち上げたことと
あとはベネッセコーポレーションによる個人情報漏えい事件です。

 2014年7月9日に発覚した、ベネッセコーポレーションが約4,858万人(2014年9月25日発表時点)もの個人情報を漏えいさせ、業務委託先社員を逮捕、漏洩対象の顧客に500円の金券を保障として送ることになった、過去最大級の個人情報漏えい事件はまだ記憶に新しいと思います。

 ですがこの事件はまだ終わっていません。
2014年9月26日、経済産業省により、2014年10月24日までに個人情報漏えい再発防止実施体制の明確化と報告を行うよう勧告されています。
経済産業省「(株)ベネッセコーポレーションに対して個人情報保護法に基づく勧告を行いました」より

 
ベネッセがニュースリリースとして公表している
お客様情報の漏えいに関するご報告と対応について」「事故調査委員会報告書について
も読み、個人的にこの事件に関して思ったことを記載します。

コスト削減とセキュリティという名のコスト

 そもそもセキュリティというものはコストそのものであり、セキュリティ会社等でない限り利益を生み出しません。
そしてセキュリティというものは手間がかかりめんどくさく不便なものです。

 例えるなら、家に鍵をかけなければ鍵の開け閉めという手間はいらないですし、鍵代もいりません。
そして、鍵をなくして家に入れなくなるような心配もありません。
しかし、家に鍵をかけるのに理由があります。家に鍵をかけないと泥棒に入るリスクが高くなりますから。

 ベネッセホールディングスの社長であり、元マクドナルドホールディングスCEOであった原田泳幸社長は特にコスト削減を行うことで利益を出すことで有名なようです。

 原田社長は2013年にベネッセホールディングスに取締役として就任し、2014年に社長に就任しました。
コストを削減しすぎ、必要なセキュリティすら「ムダ」として削減してしまってたのじゃないか?と思えて仕方ありません。
アラートシステムが機能しなかった」とか
付与済みのアクセス権限の見直しが定期的に行われていない状況も多く見受けられた」などまさにそうでしょう。

ベネッセの場合は内部犯罪?

 情報漏えい事件事故の原因のほとんどは内部にあります。
情報漏えいといえば外部要因を思い浮かべますが、外部から不正アクセスはそう簡単にはできませんし、ウイルス等はウイルス対策ソフトで検出して未然に防げます。
「自分は大丈夫だろう」「内部の人なら大丈夫だろう」という思い込みが原因なのでしょうか?

 今回のベネッセの個人情報漏えい事件も内部の人間が原因です。
(日本ネットワークセキュリティ協会「 2012年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ 」)
にありますが、内部犯罪・内部不正は件数としては1.3%と少ないですが、内部が原因の漏えいは90%以上です。

 ちなみにこの報告書はベネッセ情報漏えいがきっかけかどうかは知りませんが、2014年8月12日に更新されています。

ニュースリリースを見て個人的に思ったこと

まずは個人情報漏えいの原因について思ったことを書きます。

情報セキュリティについてグループ全体で統括的に管理を行う部署が存在しなかった
大量の個人情報を扱う会社としては大問題です。起きるべくして起きた事件です。
きちんと管理していれば、誰が来るかわからないような、入れ替わりの激しい業務委託先社員が
大量の個人情報にアクセスするなどといったことは起きないでしょう…。

社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得ないという意識を持っていた可能性が高い
外部には悪意を持った人間がいるのに内部にはいないと思える根拠はなんなのでしょうか?

従業員の教育・研修も相当程度行ってきた
 PCとスマホがUSBケーブルで接続されているところをだれも怪しいと思わなかったのでしょうか…?

 こうやって見てみると、内部犯罪でありながら管理ミスでもあるような気がします。

 次は対策内容について思ったことを書きます。

データベースの利用は事業会社
 これではまた漏えいが起きてしまうのでは・・・?

クライアントPC の仕様を、外部メディアを一切接続できないものに変更する
 USBポートその他の外部メディア接続ポートがないPCとはどのようなPCなのか?

 他にも緊急対策内容が「漏えいを未然に防止する」より「漏えいしたときに犯人特定を簡単にする」ことに重点を置いていたり、
教育関係の会社なのに社員の教育がロクに出来ていなかったのか?などいろいろ突っ込みどころがあります。
それに、漏えいした名簿を買い取ったジャストシステムが事件に気づき情報を削除を発表したとき、言いがかりのような抗議をしたことや、
「あなたの個人情報の価値は500円です」と言わんばかりの対応にも問題を感じます。

 この歴史に残るような個人情報漏えい事件、今後の成り行きにものすごく不安を感じつつ、見守っていきたい。

No related posts.(関連記事はありません)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

キャプチャ画像

上の画像に表示されている英数字を入力してください *

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>