ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感 - (page 2)

河野省二(ディアイティ)

2014-10-07 07:30

個人情報の取扱いの状況について

 本報告書では、調査当初は対象データが約2億1639万件であり、それを統合して約6984万件、名寄せした結果が約3504万件、個別のデータとして約4858万人分のデータになったと記載されています。

 この報告から分かることは、個人データをバラバラに管理していたということです。個人情報を提供する側からすればベネッセコーポレーションに提供しているつもりで、一元的に管理されていることが期待されるところですが、残念ながらそうはなっていなかったということです。

 このような状況で情報管理をしている企業では、個人情報保護法における主体(本人)の有する自己コントロール権に対して適切な対応ができない可能性が高いということです。

 例えばメールマガジンの配送停止を依頼した際やデータの削除を依頼した際に、すべてのサービスについてそれが全うされないだろうということが予測されます。

 データの一元化について、事故が発生した際の影響が大きくなると主張するセキュリティ専門家もいます。しかし、これは情報セキュリティリスク全般として考えると適切ではありません。データを分散して持っていることによって事故が発生する機会は増大します。それを管理するためのコストも増大し、事故の発生に気づく可能性も低くなります。

 情報管理におけるリスク対策の原則としては、情報の量を増やさない、監視のポイントを増やさないというものがあります。これに従って考えれば、重要なデータ、影響の大きなデータの管理は一元化していくことがポイントとなります。

 改善策として、本報告書ではホールディングスでの個人情報の一元管理が記載されています。技術的な部分はセキュリティベンダーと合弁で作る運用保守企業で担当し、利用のみをコーポレーションや事業会社で担うとしています。また、個人情報を利用した事業についてはグループ内外者でのみ扱うこととして、他の企業には情報を提供しない旨が記載されています。

 データをホールディングスで持ち、データ利用は各グループ会社が可能であるというのは、まさにクレジットカード業界での情報管理の体裁であり、これであればPCI DSSなどの基準を参考にした対策が可能です。

 グループ会社におけるデータの持ち方はさまざまなケースが考えられますが、原則的に「最終責任を負う場所に集める」というのが理想的です。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]