ベネッセ情報漏えい

ベネッセの情報漏えいから学ぶ情報管理

河野省二(ディアイティ) 2014年07月25日 07時30分

  • このエントリーをはてなブックマークに追加

ベネッセにはどんな問題があったのか

 個人情報を扱う事業者は個人情報保護法でその利用や管理を適切に処理することが義務付けられています。場合によってはプライバシーマークなどを取得し、管理体制の適性を第三者認証によって保証してもらう企業もあります。

 2005年4月からの個人情報保護法の施行によって、一般の関心も高まり、個人情報保護は企業にとって大きな課題です。その中で、ベネッセコーポレーションによって少なくとも約2300万件の個人情報(7月23日時点)が流出する事件が発生しました。

 ベネッセコーポレーションの個人情報漏えい事故では、グループ会社のシンフォームに業務委託をしていた個人情報が内部で不正に取得され、名簿業者に売却されたという報道がされています(7月23日)。不正取得をした容疑者は非正規雇用者でデータベースの管理を担当していたエンジニアであり、犯行の動機は「家族の入院やギャンブルで借金があり、生活に困っていて金が欲しかった」ということでした。

 事件に気がついたのはベネッセコーポレーションの顧客であり、ジャストシステムがこの情報を名簿販売業者である文献社から購入し、流用したことから事件が発覚しました。不正に取得された名簿は直接文献社に販売されたのではなく、数社を経由して入手されたであろうことも報道されています。


ベネッセコーポレーションの個人情報漏えい事故の相関

 これらの報道から、ベネッセコーポレーションの個人情報保護に関する課題を考察し、同様の事故を発生させないための方法を検討してみます。

 ベネッセコーポレーションやシンフォームの個人情報保護の取り組みについて、他の企業と比べて圧倒的に足りなかったという事象は認められていません。ベネッセは情報セキュリティ施策として以下の内容に取り組んでいました。

  • 個人情報委託先の調査、契約
  • データベースのダウンロード制限
  • PCの持ち込み制限
  • USBストレージの利用制限

 これらの対策はマネジメントシステムにおいても、一般的なリスク分析の結果に選択される標準的な対策です。ただし、これらが適切に実施されていたのかどうかは現状ではわかっていません。ただし、社内不正を容認してしまったことについては、何らかの問題があると考えられます。これらの対策が十分だったのかを検討してみます。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算