ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感 - (page 2)

河野省二(ディアイティ)

2014-10-07 07:30

個人情報の取扱いの状況について

 本報告書では、調査当初は対象データが約2億1639万件であり、それを統合して約6984万件、名寄せした結果が約3504万件、個別のデータとして約4858万人分のデータになったと記載されています。

 この報告から分かることは、個人データをバラバラに管理していたということです。個人情報を提供する側からすればベネッセコーポレーションに提供しているつもりで、一元的に管理されていることが期待されるところですが、残念ながらそうはなっていなかったということです。

 このような状況で情報管理をしている企業では、個人情報保護法における主体(本人)の有する自己コントロール権に対して適切な対応ができない可能性が高いということです。

 例えばメールマガジンの配送停止を依頼した際やデータの削除を依頼した際に、すべてのサービスについてそれが全うされないだろうということが予測されます。

 データの一元化について、事故が発生した際の影響が大きくなると主張するセキュリティ専門家もいます。しかし、これは情報セキュリティリスク全般として考えると適切ではありません。データを分散して持っていることによって事故が発生する機会は増大します。それを管理するためのコストも増大し、事故の発生に気づく可能性も低くなります。

 情報管理におけるリスク対策の原則としては、情報の量を増やさない、監視のポイントを増やさないというものがあります。これに従って考えれば、重要なデータ、影響の大きなデータの管理は一元化していくことがポイントとなります。

 改善策として、本報告書ではホールディングスでの個人情報の一元管理が記載されています。技術的な部分はセキュリティベンダーと合弁で作る運用保守企業で担当し、利用のみをコーポレーションや事業会社で担うとしています。また、個人情報を利用した事業についてはグループ内外者でのみ扱うこととして、他の企業には情報を提供しない旨が記載されています。

 データをホールディングスで持ち、データ利用は各グループ会社が可能であるというのは、まさにクレジットカード業界での情報管理の体裁であり、これであればPCI DSSなどの基準を参考にした対策が可能です。

 グループ会社におけるデータの持ち方はさまざまなケースが考えられますが、原則的に「最終責任を負う場所に集める」というのが理想的です。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]