事故を糧として質の高いサービスを提供するために
今回の事故について、ベネッセグループでの情報管理の不備にも問題があったことは否めませんが、一番の問題は情報の不正利用です。犯罪であるかどうかは議論の別れるところですが、悪意を持ったものが犯した犯罪であり、単純なミスであったとは言いがたいというのが実情です。コーポレーションは被害者であったと考えることもできなくはないのです。
しかし、今回のことで事故の発覚に気づかない企業であるということが露呈し、これ以外にも事故が起きているのではないかという懸念を持たれることになってしまいました。
逆に今後の対応について期待がされているところを鑑みれば、ここは対症療法的な対応ではなく、さらなるサービス向上のためのセキュリティ対策であることを考え、対策を講じるべきではなかったかと思います。
特に今回は個人情報保護に関する事件だということもあり、顧客部門などを含めた形での検討が必要だったのではないでしょうか。システム部門を中心とした改善では今後のサービス拡大の際に同様の問題が発生する可能性がないともいえません。
このようにまとめると、本報告書を読んで持った違和感は、業務に則したセキュリティ対策が検討されていないということに起因しているのではないかと改めて考えさせられます。
15年前に国内で情報セキュリティが注目され始めた頃は、システムの機能に対するセキュリティ(例えば通信の暗号化、データの暗号化、インジェクション対策など)がほとんどでした。
しかし、内部統制が求められるような中で生まれた新しいセキュリティでは、それぞれの企業における業務に則したリスクマネジメント、セキュリティ対策が望まれています。また、それがセキュリティコストを低減しつつも、事故の発生などに敏感な組織を作る秘訣でもあります。
情報セキュリティ対策を見直している企業においては、統制管理や業務リスクに詳しい専門家の育成や参画を検討することが望ましいのではないかと考えさせられました。そして本報告書を読み解くにつけ「事故の発生にいち早く気づくことができるか」という重要なポイントについての言明が足りなかったことを残念に感じました。
- 河野省二
- 株式会社ディアイティ セキュリティサービス事業部 副事業部長 経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。