先日、非常に大規模な個人情報流出事件が起きてしまいました。
進研ゼミなどのサービスを手掛ける「ベネッセ」です。
大きく報道されましたので殆どの方がご存知でしょう。
今更な内容ですが、あえて取り上げてみようと思います。
「別の会社からダイレクトメールが届くようになった」という
問い合わせが急増した事で本件は発覚しました。
問い合わせた方達は、サービス登録時にマンション名などを微妙に変えて
登録していたことで、ベネッセからの流出だと気付いたそうです。
実は私も昔、2004年のYahoo!BBの情報漏えい事件があった時に
(もう10年も経つんですねぇ・・・懐かしい)
何かのサービスへの登録時は微妙にマンション名を変えて登録してました。
最近はもうキリが無いので普通に登録してますけど。
最大2,070万件としていた流出件数ですが、少なくとも2,260万件に上ると
その後に発表されました。
ちなみに、過去1,000万件を超えた情報漏えい事件は
・2011年 SONY(約7,700万件)
・2013年 YAHOO!JAPAN(約2,200万件)
これらに比類する件数となります。
ベネッセは顧客への謝罪として200億円の資金を用意し、謝罪の物品送付、
通信教育などの受講費の減額を検討しているようです。
この事件が発表された後1週間で、本件への問い合わせ数5万件、
その内6%が退会の申し出だったそうです。
このような『情報漏えい事件』を起こしてしまった企業の損失は大きく、
金額面だけでなく「企業ブランドの失墜」にもなります。
これからベネッセは信頼回復に向け多大な苦労、困難が待ち受けて
いることでしょう。
情報漏えいの原因としてはいくつか考えられます。
・モバイル機器や記録メディアの取り扱い
・ウイルス感染
・不正アクセス
・関係者の作業ミス
・関係者による意図的な流出
この内「不正アクセス」については、対策は非常に難しいでしょう。
ちなみに、前述した1,000万件超の情報漏えい事件の2件は、
共にこの「不正アクセス」によるものでした。
漫画の世界のような天才的ハッカー集団というのは実際にいて・・・
と、この件はまた別の機会にしましょう。
「関係者の作業ミス」で思い浮かぶのは「メールの誤配信」ですね。
私も以前、やらかした事がありまして・・・。(個人情報ではありませんが)
送った直後に気付き、「誰かそのメールを止めてくれぇ!!」と
叫びたくなりました(^^;
それ以来、メールの送信については特に注意するようにしています。
ユーザーからの問い合わせでも、たまにこの類の依頼があります。
実は、ある特定の条件下であれば送信メールのキャンセルが
出来るのですが、これもまた別の機会にします。
ベネッセの件は「関係者による意図的な流出」でした。
個人情報の取り扱い規程などの制定、従業員への教育や派遣・契約社員へも
同等に教育すること、業務請負などの協力会社へも徹底させること、
などでモラルの向上、漏えいリスク軽減ができますが、
やはり100%防げるものではありません。
セキュリティツール、資産管理ツールにて機械的に監視・制御は可能です。
ですが「情報漏えいを完全に防ぐ、徹底した情報管理」というレベルの環境構築、
維持は難しいのではないでしょうか。
ビジネススピードも犠牲になるでしょうし、何より管理側は相当な苦労を
強いられるでしょう。
そして、如何に強固な管理システムであったとしても、管理者もしくは管理者に
近い権限を持つ者には効果が薄く、過去の事例からすると『悪意を持った』管理側の
人間が漏えいさせるケースが多いのです。
今回、ベネッセ社の事案を取り上げた理由がここにあります。
会社(社会)はIT管理の重要性をしっかりと認識し、
担当者の負担減、高待遇などなど。
・業務量が非常に多く、残業は当たり前で休日出勤もちらほら。
・社内での発言力が弱く、上からの意見にNoが言えない。
・誰でも出来る仕事だと思われている。
・その割にIT系で何かあったら責任を問われる。
・ユーザーは無茶な要求ばかりで、出来ないと怒られる。
・定時で帰るとイヤミを言われる。
・逆に残業が多くてもイヤミを言われる。
・休暇申請を出すとやはりイヤミを言われる。
・病欠でもやはりイヤm(略
※あくまでも「たとえ」ですよ?(^_^;)
モヤモヤと鬱憤、ストレスが溜まり続ける環境に置かれてはやはり人の子、
「間違い」が無いとは限りません。
せめて、不遇な環境で酷使されている状態であれば緩和していただきたいのです。
セキュリティツールでは防げない、違う観点からの『情報漏えい防止策』です。