株式会社シスアナコム

情報システムに関することなら、どんなことでも適切に助言いたします!

この投稿は1年以上前に公開されました。
現在では状況や内容が変わっている可能性があります。
ご注意下さい。m(_ _)m

ベネッセ個人情報漏洩事件は、情報管理を外部へ委託した事が間違い。

   

シスアナコム社長の杉山です。

最近、過去の文章を少しずつ現在のウェブサイトの中に移しているので、たまには昔の形式でひとことを書いてみたくなりました。

書きたくなるネタも出てきましたし。

それは、ソニー以来の大規模な個人情報漏洩事件となってしまった、ベネッセの個人情報漏洩事件です。

概要

  • ベネッセで大規模な情報漏洩事件が発生した。
  • 過去にも大規模な情報漏洩事件があったが、今回は管理体制が悪すぎる。
  • 個人情報が命の企業が、個人情報を外部へ委託するなんて信じられない。
  • 重要な事ほど契約書があれば大丈夫だと考えてはいけない。

ベネッセ個人情報漏洩事件について

2014年7月9日、通信教育大手のベネッセホールディングスが最大で2070万件にのぼる顧客情報が外部に流出したことを発表しました。

中小企業ならいざ知らず、大企業のベネッセから個人情報が漏れるなんて信じられません。

情報は名簿業者へ渡り、その情報を買って使ったジャストシステムが悪いかのような報道もありました。

もしジャストシステムがベネッセから流出した機密個人情報だと認識して使っていたのなら悪いと思いますが、そうでないのならジャストシステムは悪くありません。

悪いのはベネッセ。

また、ソニーの個人情報流出事件のように外部からハッキングされたのだとしたらハッカーも悪いと思いますが、今回の事件は外部からのハッキングではなく内部から流出したとのこと。

やはり悪いのはベネッセです。

ベネッセは福武書店時代からブラック企業だと言われていましたが、社名を変更したところで内部は何も変わってないのかもしれません。

報道から知った管理体制

過去にも様々な情報漏洩事件はありました。

でも、報道で知ったことですが、今回のベネッセの個人情報管理体制は驚くほどひどい状況だと感じました。

ベネッセの個人情報データベースは、グループ企業のシンフォームという会社に保守管理を委託していたそうです。

まず、通信教育を行う企業の命と言ってもいい個人情報を、グループ企業とはいえ外部に委託することが驚き。

そして更に驚くのが、そのシンフォームという会社が複数の外部業者へ再委託していたと言うのです。

ベネッセから見れば、個人情報を管理していた人は孫請け企業の社員。

通信教育や通信販売で稼いでいる企業では、個人情報は企業の命のはず。

つまり、全然知らない人が企業の命とも言える個人情報を管理していたらしい

知らない人に命を預けることができる企業なのか。

ベネッセ本体にも情報システム部門があると思うのですが、その責任者は何を考えて仕事をしていたのでしょうか。

今回の事件で、当然ですがCIOは辞任するそうです。

やっぱり日本企業のCIOは、名前だけの役に立たない職名だと分かりました。

ベネッセの個人情報保護方針について

ベネッセのウェブサイトには「個人情報保護の取り組みについて」というページがあります。

その中に「個人情報の適正管理」という項目があります。

そのうち変更されてしまうかもしれませんので、今のうちに引用しておきます。

次のような適正な管理を行うことで、常に個人情報の保護に務めます。

  • 個人情報保護最高責任者(Chief Privacy Officer)を任命し、規程の実行を監督する責任者としています。
  • 漏洩、紛失、き損、改ざん、誤用、不正アクセス等を防止するための厳重なセキュリティー対策の実施
  • セキュリティー対策の実施、最適化のための是正措置、及び個人情報を保護、管理する体制の継続的改善
  • 安全な環境下で管理するための、個人情報データベースへのアクセス制限の実施
  • 個人情報の保護についての社員教育の徹底
  • 緊急時の対応体制の設置および原因究明と再発防止のための改善、是正措置
  • 利用目的遂行のために業務を委託する場合、個人情報の取り扱いに関する委託先の適正な管理および監督を行います。

問題なのが最後の項目。

企業によって管理すべき個人情報の重要度は異なると思いますが、通信販売や通信教育を行う企業が、個人情報の管理を業務委託してはダメです。

命は外部に委託できるものではありませんから。

企業の命を契約書では守れない

ちゃんと契約しているし、規則も作って守らせているから大丈夫だと思う人も多いと思います。

普通の業務委託契約ならば、それでも問題はありません。

しかし、機密情報は外部には委託できません。

委託できないからこそ機密なのです。

契約書という紙なんかでは、悪意を持った人間を止めることはできません。

例えば、悪意を持った人間が機密情報を流出させたとします。

契約に基づいて委託先に損害賠償を請求することはできるでしょう。

しかし、機密情報を漏洩した事により失墜した信用は戻ってきません。

残念ながら信用はお金では買えないのです。

では、どうするのか

対策としては、信用できる人間に機密情報の管理を任せればいいのです。

部下の人間性を見ることは、上司の重要な仕事の一つ。

情報システム部門の責任者が部下の中から信用できそうな人間を見定めて、人数を限定して管理を任せます。

その上で、複数の人間が関与する仕組み、つまり相互に牽制する仕組みを作るのです。

例えば、こんな感じ。

  • サーバの物理的な鍵を持つ人間とサーバへのログインパスワードを別々の人間に管理させる。
  • 個人情報の操作ログのチェック作業は、操作権限を持つ人以外にやってもらう。
  • 管理している機器を業者に触らせる必要がある場合は、必ず信用できる部下に立ち会わせる。

それによって、仕事の手間は格段に増えると思いますが、機密情報を扱っているのですから手間が増えるのは当然の事。

機密と効率はトレードオフの関係にあるのです。

まとめ

どんな企業でも機密情報は少なからずあるはずです。

もし機密情報を外部へ委託している企業があれば、すぐに改善しましょう。

 - ひとこと, ひとこと(情報化)

↓ブログランキングに参加しています!


ネット・PC(全般) ブログランキングへ
にほんブログ村 IT技術ブログ ITコンサルティングへ
にほんブログ村

Comment

  1. neko より:

    そもそも旧体制の日本企業の管理層の人々は 「データベース」とは具体的にどういうものなのか、 と言う事すら知らないのではないでしょうか。 面倒な事は外部に丸投げし、人材ソリューションはとにかく隙間があれば誰彼かまわず人材を突っ込む、 挙句未経験者がいきなり個人情報の詰まったDBにアクセスできるのがこの国の実情です。 そしてそう言う扱いをされた人材は大抵二束三文で使われているのでこう言った犯罪に手を染めやすい精神状態にあると想像出来ます。 恐ろしい事にご指摘の改善内容とは全く反対ににこう言った部門ではコストは「削られる」方向にあります。 知識不足よりなぜそこにコストをかける必要があるのかを理解できない管理職の勉強不足とも言えます。 ご指摘の通りこれは完全にベネッセ経営陣の怠慢と勉強不足による人災、及び日本のIT社会における名ばかりの情報管理体制の脆弱性に基づき必然的に発生したお粗末な事件と言えるかも知れません。

    • sysana より:

      nekoさん 弊社のウェブサイトへ、初のコメントありがとうございます。 とても嬉しいです! nekoさんの仰る通り。 面倒な事でも機密情報は委託してはダメ。 機密情報を守るためには金をかけるべきだと思います。 今回の件は、代表権を持つ取締役、つまり、前社長の怠慢と勉強不足と判断ミスが原因です。 マクドナルドから転職してきた社長さんはプロ経営者ですから、さすがに個人情報の機密性を理解していると思うので、今後は改善してくれると思います。

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です