HOMEディーシーエヌ コラム



2014/07/22 データクレンジング

ベネッセの顧客情報漏えい事件も犯人逮捕となって
事件の全容が明らかになってきたが
同社が失った信頼と経済的損失は計り知れない。
改めて情報漏えいリスクの大きさを実感する一方で
半年間も検知できなかった顛末には驚きを隠せない。

JIPDECのサイトには
ベネッセコーポレーション及びジャストシステムについて
問題点は異なるが厳正に対処すると書かれている。
いずれもプライバシーマーク制度における
企業信頼性の根幹に係わる事件であり
極めて残念な結果も予想される。

すでに事件詳細の多くは報道もされているので
筆者が感じる危惧について書き留めておきたい。
現法制化で名簿ビジネスが存在する限り
個人情報の不正取得及び売却という潜在リスクが消えることはない。
今回の場合はわかっているだけで複数の名簿会社に
転売されたと報道されているが
約半年の間にどれほど拡散したかを完全に追跡することは困難だろう。
過去の漏えい事件と同様に
これらの個人情報は他のデータベースに取り込まれ
新しいデータとして生まれ変わっている可能性がある。
マネーロンダリングならぬ、個人データロンダリングにより
精度の高い、価値ある個人情報としてクレンジングされた可能性もある。
結果的に長きに亘り不利益を被る可能性も否定できない。
最初の記者会見でお金に係わる機微な情報は含まれていないので
補償する考えはないとした社長のコメントは
結果的に認識の甘さを露呈する結果となった。
同社のサービスを利用している顧客のひとりとして
その程度の認識だったのかと失望したことも事実である。

さらに顧客データベースの管理をしていたシンフォームは
ISMSの認証組織であり審査機関のBSIが
今回の事件とマネジメントシステムの関連を調査中と公表している。
ファーストサーバの事故もそうだったが
認証するためにいくら厳格なルールを定めても
運用確認が甘ければ今回のような事件は避けられない。
USBポートのリスクについては今更感もあるが
不正接続についてモニタリングをしても
検知したログを発見できなければまったく意味がない。
さらに大量のコピーについては
正規のアクセス権限があったとしても
操作ログを厳格にチェックするルールが履行されていれば
もっと早い段階で検知できた可能性もあった。
いずれも情報セキュリティ対策においては
極めて基本的な事項である。
こうした事件を見るたびに感じるのは
“ルールの形骸化”が根本原因ではないかということである。

ルールは厳密に履行されてこそ有効性がある。
逆説的に考えれば、何故履行されなかったのかを検証すべきであろう。
情報資産に対する脅威レベルを冷静に判断すれば
顧客データベースこそ最大限に保護すべき対象である。
そのために運用ルールがあり、手順がある。
つまり、形骸化がミスや油断を誘発させ
不正行為を助長するというスパイラルダウンを引き起こす。
予見可能なリスクに対して
本来やるべきことをやっていなかったとなれば
まさに“加害者”である。

ジャストシステムについては
事件の報道後、ユーザのひとりである筆者にもメールが届いた。
主旨は、ベネッセの顧客情報とは知らなかったというものである。
この言い訳メールは論旨がずれている。
そもそも出所が明らかでない、若しくは確認が取れていない
個人情報を購入してDMを送付するということ自体が問題なのである。
正直な感想を言えば、こんなメールこそ不愉快である。

今回は不正競争防止法の営業秘密侵害容疑での逮捕となった。
事件の社会的影響を考えれば実刑の可能性もある。
犯人がこの法律を知っていれば
犯行が割に合わないことを事前に認識できたのではと思った次第である。


このページのトップに戻る