このエントリーをはてなブックマークに追加 LINEで送る

CDロムの画像です。

連日報道されるベネッセの個人情報流出事案ですが、原因は、下請け会社の派遣SEによる金銭目的による犯行だとされています。
2014年7月9日付けでベネッセのHPに掲載されたニュースリリースによると、漏えいが確認された顧客情報は760万件で、最大で約2,070万件に及ぶ大規模な個人情報が漏えいした恐れがあります。
また、売却されや顧客リストが、通信教育事業を手掛けるジャストシステムによって利用されたことも、各種メディアによって大きく取り上げられました。

会員事業を手がける企業における個人情報漏えい

ベネッセなどの会員事業を手がける企業にとって、顧客情報は極めて重要度の高い「経営資源」であったことは想像に難くありません。ベネッセ自身も、顧客情報の入るデータベースの警備は厳重であり、社内システムは原則24時間で監視している旨を発表しています。また、プライバシーマークを取得している点からも、全社員や委託先の従業員に対して、個人情報の取り扱いに関する教育が行われてきたと見るのが妥当です。
しかし、明確な意図を持った内部の人間によって、情報漏えい事件が引き起こされてしまいました。

内部の犯行を防ぐ難しさ

悪意を持った人間による、内部からの意図的な情報漏えいを防ぐのは、現状では極めて難しいと言わざるを得ません。例えば、一定以上の大きさの企業であれば、社内システムを管理する従業員が、通常の従業員に比べて、より詳細な個人情報を閲覧できる権限を持っているケースが多くあります。
そういった状況で、そのシステム管理者が、個人情報を閲覧し、例えば重要なファイルの内容を紙に書いて持ち出すという事態に対しては、ITシステムのみで防ぐことは難しいと言えます。

仕組み化の重要性

そういった、ITシステムの力が及び切らない部分に関しては、例えば「特定のファイルを閲覧した」「印刷した」「コピーした」などといった、PCの操作ログを保存しておくことで、漏えいそのものは防ぐ事はできなくとも、実行に及んだ人間を特定することは容易になります。
また、PCの操作ログを保存し、その事実を従業に通知すること自体が、情報漏えいを未然に防ぐ抑止力として機能することも期待できます。
ただ、あくまで「抑止」であり、「防止」として機能させるには、また別の施策が必要になる点に注意が必要です。
以上のように、今回の事案に見られる、内部の人間による情報漏えい対策としては、例えば操作ログによる「抑止・けん制」としての予防策と、「原因把握・容疑者特定」としての事後策が重要となります。
ITシステムの高度化ももちろんですが、情報漏えいを起こさない仕組みづくりにも、併せて取り組んでいく必要があると言えます。

このエントリーをはてなブックマークに追加 LINEで送る

ベネッセの個人情報流出に見る「個人情報管理」の難しさ

カテゴリー: 個人情報

CDロムの画像です。

連日報道されるベネッセの個人情報流出事案ですが、原因は、下請け会社の派遣SEによる金銭目的による犯行だとされています。
2014年7月9日付けでベネッセのHPに掲載されたニュースリリースによると、漏えいが確認された顧客情報は760万件で、最大で約2,070万件に及ぶ大規模な個人情報が漏えいした恐れがあります。
また、売却されや顧客リストが、通信教育事業を手掛けるジャストシステムによって利用されたことも、各種メディアによって大きく取り上げられました。

会員事業を手がける企業における個人情報漏えい

ベネッセなどの会員事業を手がける企業にとって、顧客情報は極めて重要度の高い「経営資源」であったことは想像に難くありません。ベネッセ自身も、顧客情報の入るデータベースの警備は厳重であり、社内システムは原則24時間で監視している旨を発表しています。また、プライバシーマークを取得している点からも、全社員や委託先の従業員に対して、個人情報の取り扱いに関する教育が行われてきたと見るのが妥当です。
しかし、明確な意図を持った内部の人間によって、情報漏えい事件が引き起こされてしまいました。

内部の犯行を防ぐ難しさ

悪意を持った人間による、内部からの意図的な情報漏えいを防ぐのは、現状では極めて難しいと言わざるを得ません。例えば、一定以上の大きさの企業であれば、社内システムを管理する従業員が、通常の従業員に比べて、より詳細な個人情報を閲覧できる権限を持っているケースが多くあります。
そういった状況で、そのシステム管理者が、個人情報を閲覧し、例えば重要なファイルの内容を紙に書いて持ち出すという事態に対しては、ITシステムのみで防ぐことは難しいと言えます。

仕組み化の重要性

そういった、ITシステムの力が及び切らない部分に関しては、例えば「特定のファイルを閲覧した」「印刷した」「コピーした」などといった、PCの操作ログを保存しておくことで、漏えいそのものは防ぐ事はできなくとも、実行に及んだ人間を特定することは容易になります。
また、PCの操作ログを保存し、その事実を従業に通知すること自体が、情報漏えいを未然に防ぐ抑止力として機能することも期待できます。
ただ、あくまで「抑止」であり、「防止」として機能させるには、また別の施策が必要になる点に注意が必要です。
以上のように、今回の事案に見られる、内部の人間による情報漏えい対策としては、例えば操作ログによる「抑止・けん制」としての予防策と、「原因把握・容疑者特定」としての事後策が重要となります。
ITシステムの高度化ももちろんですが、情報漏えいを起こさない仕組みづくりにも、併せて取り組んでいく必要があると言えます。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする