fbpx

お知らせ

2年が経過、ベネッセ情報漏洩問題を再考する

2014年7月、「進研ゼミ」などで有名な教育大手のベネッセコーポレーションに顧客から「教育関連のダイレクトメールが届くようになったが、顧客情報が漏れているのでは?」という問い合わせを受けたことから発覚した個人情報漏洩事件。

このベネッセ情報漏洩事件を覚えていますか?

この事件では、流失した個人情報が約3,000万件という今までの個人情報流出事件からみても非常に大規模なものであり、連日ニュースや新聞などで報道され、政府もその対応を指示したりなど社会的に大きな影響がありました。

そしてベネッセからの刑事告訴を受け、警察はベネッセが顧客情報データベースの運用や保守管理を委託している会社のシステムエンジニアをしていた派遣社員の男を個人情報を不正に引き出して売却した不正競争防止法違反の容疑で逮捕しました。

あらためて考える内部からの漏洩対策とは

ベネッセはその後、この事件の対応として、社内調査委員会を設置し、流出した個人情報を買い取った業者を調査し、その業者へ個人情報の利用停止の働きかけを行いました。また、情報が流出してしまった顧客には金券でのお詫びをする対応をしました。

この事件の影響として、開催予定だった一部イベントの中止や責任部署の取締役の引責辞任、そして何より信用を失ったことによる顧客離れを止めることができませんでした。事件後の昨年、今年も業績は低迷し赤字、ついに今年の5月にはこの責任を取る形で社長が退任する事態となりました。

この事件は、ハッキングなどで外部から情報を盗み出された訳ではなく、個人情報にアクセスできる権限を持った人間自身が情報を盗み出すという、完全に内部からの漏洩です。

あらためてこのベネッセの漏洩事件を見てみると、決してセキュリティが甘かったわけではないことが分かっています。

むしろ、情報セキュリティーの専門家がみても及第点を付けられるぐらいの対策はしていたのです。

しかし、実際の現場では、犯行に使われた私物のスマートフォンが持ち込める状況であったこと。このスマートフォンが外部デバイスとして使用できてしまっていたこと、操作したログは取っていたが異常を発見してアラートが出る仕組みにはなっていなかったので見逃してしまったことなど、ぜっかくの対策も内部に対しては有効になっていない状況だったことが、大規模情報漏洩事件の原因となったのです。

この事件を機に、多くの役所や企業で、今までは「仲間を疑うようなことはしたくない」という感情から、甘くなっていた内部からの漏洩にも対策を立てるようになりました。

そして2年経って、その内部からの漏洩対策が、今現在でも現場で活かされているか? 形だけの対策になっていないか? 抜け道はないか?を確認する良い機会ではないでしょうか。

それが今できる最も重要な、内部からの情報漏洩対策なのではないでしょうか。

関連記事

ページ上部へ戻る