ベネッセにはどんな問題があったのか
個人情報を扱う事業者は個人情報保護法でその利用や管理を適切に処理することが義務付けられています。場合によってはプライバシーマークなどを取得し、管理体制の適性を第三者認証によって保証してもらう企業もあります。
2005年4月からの個人情報保護法の施行によって、一般の関心も高まり、個人情報保護は企業にとって大きな課題です。その中で、ベネッセコーポレーションによって少なくとも約2300万件の個人情報(7月23日時点)が流出する事件が発生しました。
ベネッセコーポレーションの個人情報漏えい事故では、グループ会社のシンフォームに業務委託をしていた個人情報が内部で不正に取得され、名簿業者に売却されたという報道がされています(7月23日)。不正取得をした容疑者は非正規雇用者でデータベースの管理を担当していたエンジニアであり、犯行の動機は「家族の入院やギャンブルで借金があり、生活に困っていて金が欲しかった」ということでした。
事件に気がついたのはベネッセコーポレーションの顧客であり、ジャストシステムがこの情報を名簿販売業者である文献社から購入し、流用したことから事件が発覚しました。不正に取得された名簿は直接文献社に販売されたのではなく、数社を経由して入手されたであろうことも報道されています。
ベネッセコーポレーションの個人情報漏えい事故の相関
これらの報道から、ベネッセコーポレーションの個人情報保護に関する課題を考察し、同様の事故を発生させないための方法を検討してみます。
ベネッセコーポレーションやシンフォームの個人情報保護の取り組みについて、他の企業と比べて圧倒的に足りなかったという事象は認められていません。ベネッセは情報セキュリティ施策として以下の内容に取り組んでいました。
- 個人情報委託先の調査、契約
- データベースのダウンロード制限
- PCの持ち込み制限
- USBストレージの利用制限
これらの対策はマネジメントシステムにおいても、一般的なリスク分析の結果に選択される標準的な対策です。ただし、これらが適切に実施されていたのかどうかは現状ではわかっていません。ただし、社内不正を容認してしまったことについては、何らかの問題があると考えられます。これらの対策が十分だったのかを検討してみます。
