ベネッセ情報漏えい

ベネッセの情報漏えいから学ぶ情報管理

河野省二(ディアイティ)

2014-07-25 07:30

ベネッセにはどんな問題があったのか

 個人情報を扱う事業者は個人情報保護法でその利用や管理を適切に処理することが義務付けられています。場合によってはプライバシーマークなどを取得し、管理体制の適性を第三者認証によって保証してもらう企業もあります。

 2005年4月からの個人情報保護法の施行によって、一般の関心も高まり、個人情報保護は企業にとって大きな課題です。その中で、ベネッセコーポレーションによって少なくとも約2300万件の個人情報(7月23日時点)が流出する事件が発生しました。

 ベネッセコーポレーションの個人情報漏えい事故では、グループ会社のシンフォームに業務委託をしていた個人情報が内部で不正に取得され、名簿業者に売却されたという報道がされています(7月23日)。不正取得をした容疑者は非正規雇用者でデータベースの管理を担当していたエンジニアであり、犯行の動機は「家族の入院やギャンブルで借金があり、生活に困っていて金が欲しかった」ということでした。

 事件に気がついたのはベネッセコーポレーションの顧客であり、ジャストシステムがこの情報を名簿販売業者である文献社から購入し、流用したことから事件が発覚しました。不正に取得された名簿は直接文献社に販売されたのではなく、数社を経由して入手されたであろうことも報道されています。


ベネッセコーポレーションの個人情報漏えい事故の相関

 これらの報道から、ベネッセコーポレーションの個人情報保護に関する課題を考察し、同様の事故を発生させないための方法を検討してみます。

 ベネッセコーポレーションやシンフォームの個人情報保護の取り組みについて、他の企業と比べて圧倒的に足りなかったという事象は認められていません。ベネッセは情報セキュリティ施策として以下の内容に取り組んでいました。

  • 個人情報委託先の調査、契約
  • データベースのダウンロード制限
  • PCの持ち込み制限
  • USBストレージの利用制限

 これらの対策はマネジメントシステムにおいても、一般的なリスク分析の結果に選択される標準的な対策です。ただし、これらが適切に実施されていたのかどうかは現状ではわかっていません。ただし、社内不正を容認してしまったことについては、何らかの問題があると考えられます。これらの対策が十分だったのかを検討してみます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]