ベネッセ情報漏えい

ベネッセの報告書を読んで浮かんだ違和感 - (page 4)

河野省二(ディアイティ)

2014-10-07 07:30

事故を糧として質の高いサービスを提供するために

 今回の事故について、ベネッセグループでの情報管理の不備にも問題があったことは否めませんが、一番の問題は情報の不正利用です。犯罪であるかどうかは議論の別れるところですが、悪意を持ったものが犯した犯罪であり、単純なミスであったとは言いがたいというのが実情です。コーポレーションは被害者であったと考えることもできなくはないのです。

 しかし、今回のことで事故の発覚に気づかない企業であるということが露呈し、これ以外にも事故が起きているのではないかという懸念を持たれることになってしまいました。

 逆に今後の対応について期待がされているところを鑑みれば、ここは対症療法的な対応ではなく、さらなるサービス向上のためのセキュリティ対策であることを考え、対策を講じるべきではなかったかと思います。

 特に今回は個人情報保護に関する事件だということもあり、顧客部門などを含めた形での検討が必要だったのではないでしょうか。システム部門を中心とした改善では今後のサービス拡大の際に同様の問題が発生する可能性がないともいえません。

 このようにまとめると、本報告書を読んで持った違和感は、業務に則したセキュリティ対策が検討されていないということに起因しているのではないかと改めて考えさせられます。

 15年前に国内で情報セキュリティが注目され始めた頃は、システムの機能に対するセキュリティ(例えば通信の暗号化、データの暗号化、インジェクション対策など)がほとんどでした。

 しかし、内部統制が求められるような中で生まれた新しいセキュリティでは、それぞれの企業における業務に則したリスクマネジメント、セキュリティ対策が望まれています。また、それがセキュリティコストを低減しつつも、事故の発生などに敏感な組織を作る秘訣でもあります。

 情報セキュリティ対策を見直している企業においては、統制管理や業務リスクに詳しい専門家の育成や参画を検討することが望ましいのではないかと考えさせられました。そして本報告書を読み解くにつけ「事故の発生にいち早く気づくことができるか」という重要なポイントについての言明が足りなかったことを残念に感じました。

河野省二
株式会社ディアイティ セキュリティサービス事業部 副事業部長
経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]