松岡功の一言もの申す

ベネッセの情報流出問題に見る危機管理の教訓

松岡功

2014-07-16 07:30

 先週明らかになった通信教育大手ベネッセホールディングス(HD)の顧客情報が流出した問題は、およそ1週間経った今も大きな波紋が広がっている。さまざまな問題点が指摘されているが、ここではベネッセの初動の危機管理対応について一言申し上げておきたい。

会見で垣間見えた情報管理体制の甘さ

 ベネッセHDが7月9日、通信教育講座「進研ゼミ」の会員など約760万件の顧客情報が外部に流出したと発表した。さらに最大で約2070万件に膨らむ可能性があるという。同社は同日に記者会見を開き、原田泳幸会長兼社長が「多大なるご迷惑をおかけし深くお詫び申し上げる」と述べた。

 こうした問題発覚直後の記者会見も、企業にとっては問題への初動対応における非常に重要な危機管理である。実際、今回のベネッセの会見でも、なぜ情報流出したのか、流出した情報の内容、対応策、経営陣の責任などについて質疑応答が相次いだ。

 その中で、気になる発言があった。記者から情報流出の経路を問われたときの原田氏の答弁だ。その内容は次のようなものだった。

 「外部からの不正アクセスの形跡はなく、情報の持ち出しにグループ会社当社社員の関与はない。社員以外の内部者の関与を推定している」

 問題発覚直後の会見で、流出の経路についてそこまでわかっていることを包み隠さず述べたと思われるが、聞きようによっては、身内は関与していないという責任逃れのようにも受け取れる。

 ならば、社員以外の内部者は“よそ者”なのか。その“よそ者”に顧客データベースへのアクセス権を与えているベネッセの情報管理体制は、いったいどうなっているのか。その情報ガバナンスこそが、今回の一件の最大の問題だと筆者は考える。

 こうしたときの答弁は重ね重ねの慎重さが求められる。ちょっとした表現に自己防衛の本音と情報管理体制の甘さが透けて見えるからだ。あまり他では指摘のないところだったので、ここに記しておきたい。教訓の1つになればと思う。

ビッグデータ活用に向けた備えの教訓に

 今回の情報流出をめぐっては、ベネッセの顧客データベースの保守管理を受託しているグループ企業で、下請けの派遣社員として働いているシステムエンジニア(SE)のIDが使われており、少なくとも760万件の流出が確認されている。

 ベネッセHDの説明などによると、顧客データベースのアクセスできる部屋は出入りが厳しく制限されており、情報の機密性や業務内容に応じてアクセス範囲が区分されていたが、権限は再委託先の担当者にも与えられていたという。

 不正競争防止法の疑いで捜査している警視庁が、顧客データベースの閲覧履歴を解析したり、当該のSEから事情を聞いたりして流出経路を調べていたところ、そのSEが情報を持ち出して名簿業者に売ったことが判明した。これで出所は明確になったが、流出した情報は複数の名簿業者が転売を繰り返していることも明らかになっている。

 今回の一件は、そうした名簿ビジネスの不透明さにもメスを入れる絶好の機会といえる。法的な措置が必要ならば、迅速に対処すべきだ。ビッグデータを活用する時代がこれから本格的に到来する中で、今回の一件を、まさしくその備えを怠らないようにするための教訓としたいものである。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]