個人情報の取扱いの状況について
本報告書では、調査当初は対象データが約2億1639万件であり、それを統合して約6984万件、名寄せした結果が約3504万件、個別のデータとして約4858万人分のデータになったと記載されています。
この報告から分かることは、個人データをバラバラに管理していたということです。個人情報を提供する側からすればベネッセコーポレーションに提供しているつもりで、一元的に管理されていることが期待されるところですが、残念ながらそうはなっていなかったということです。
このような状況で情報管理をしている企業では、個人情報保護法における主体(本人)の有する自己コントロール権に対して適切な対応ができない可能性が高いということです。
例えばメールマガジンの配送停止を依頼した際やデータの削除を依頼した際に、すべてのサービスについてそれが全うされないだろうということが予測されます。
データの一元化について、事故が発生した際の影響が大きくなると主張するセキュリティ専門家もいます。しかし、これは情報セキュリティリスク全般として考えると適切ではありません。データを分散して持っていることによって事故が発生する機会は増大します。それを管理するためのコストも増大し、事故の発生に気づく可能性も低くなります。
情報管理におけるリスク対策の原則としては、情報の量を増やさない、監視のポイントを増やさないというものがあります。これに従って考えれば、重要なデータ、影響の大きなデータの管理は一元化していくことがポイントとなります。
改善策として、本報告書ではホールディングスでの個人情報の一元管理が記載されています。技術的な部分はセキュリティベンダーと合弁で作る運用保守企業で担当し、利用のみをコーポレーションや事業会社で担うとしています。また、個人情報を利用した事業についてはグループ内外者でのみ扱うこととして、他の企業には情報を提供しない旨が記載されています。
データをホールディングスで持ち、データ利用は各グループ会社が可能であるというのは、まさにクレジットカード業界での情報管理の体裁であり、これであればPCI DSSなどの基準を参考にした対策が可能です。
グループ会社におけるデータの持ち方はさまざまなケースが考えられますが、原則的に「最終責任を負う場所に集める」というのが理想的です。
