台風8号が襲来しましたが、深夜に通過した関東は大きな被害もなく通過して一安心の週末となりました。しかしその爪痕は大きく、今回も被害に遭われた数多くでてしまいました。地球温暖化過程での自然災害は、これまでにない速度と規模で我々を襲います。今後の台風シーズンも油断なく過ごしたいですし、忘れかけている地震への対策も常に検討しておく必要があります。
さて先日の謝罪会見以来、ベネッセが揺れています。進研ゼミなどベネッセの通信教育サービスを受けている顧客からの複数の問い合わせで発覚した今回の情報漏洩、ジャストシステムも巻き込んで非常に大きな問題に発展しています。公表後ベネッセの株価は下がり続けていますし、進研ゼミなどのサービスの退会者も増えています。一日も早く原因と犯人を明らかにし、普段通りの業務体制に戻ることを心から願っています。
さて今回の件ですが、事の起こりは6月の下旬から始まった、ベネッセの顧客からの問い合わせです。ベネッセにしか登録していない個人情報が他社のラベルに印刷され、ダイレクトメールが送られてきているという連絡があり、社内調査が始まったようです。調べてみると他にも同様の問い合わせが多く発生しており、結果として情報が漏れていることが発覚しました。原因はベネッセの情報システムを取り扱うシンフォームがDBの運営を下請IT企業に発注し、そこでアクセスの権限を持った者がDB情報をコピーし名簿業者に売却したようです。漏洩した情報は名簿業者に5〜15円/件で販売され、それがいくつかの業者に転売され今回の件が発覚したようです。
ベネッセの調査によると、少なくとも社内あるいは関連会社のメンバーが起こした事件ではない,とされています。一番可能性が高いのは下請IT企業の社員でDBアクセス権を持った人間のようですが、果たしてアクセスログだけで簡単に犯人が見つけられるかは非常に難しいところだと思います。企業のセキュリティ意識が低い会社では、パスワードの管理がそれほど厳密ではないため、他社のパスワードを利用して作業を行うことは可能だからです。もちろんそれはベネッセの関連社員のパスワードも含まれているでしょうから、真犯人特定はきわめて難しいと思います。可能性の濃い人間を洗い出し、その社員の収入や支出等をこまめに精査して犯人を見つけるしかないでしょうし、それが可能かは捜査機関の問題ですが、現状では不透明な部分も残されています。
現状漏れた件数は最低でも760万件、最大で2070万件といわれています。仮に1件5円で売却したとしても、犯人には4000万円前後の現金が入った可能性があります。個人情報保護法の施行後は個人情報を集めることは非常に難しくなっていますし、情報には鮮度があります。今回のように子供の名前や住所だけでなく親の情報も入っていた場合はいろいろな利用価値がありますから、高値で取引されることは間違いないでしょう。これに類する事件が起きないことを願いますし、顧客データ等の個人データを取り扱っている企業や部署は、もう一度セキュリティ対策を確認するだけでなく、実効性の担保とこれまでに発生していないかを確認する必要があると思います。うがったものの見方をすると、近々ベネッセ以外に第二、第三の漏洩が発覚する可能性も高いといわざるを得ません。これまでに漏洩した事実を把握してきたもののその発表タイミングを計っていた企業は、今回の混乱に乗して発表をしてくる可能性もあるからです。
今回気の毒に思ったのは、社長の原田氏とジャストシステムです。ご存じ通り原田氏は日本マクドナルドの会長を務めた方であり、6月の下旬にベネッセの代表取締役に就任しています。まさに今回の件が発覚しかけた最中での就任ですから、最初の対外活動が漏洩事件の謝罪と、非常に気の毒な結果となってしまいました。藤田田氏亡き後のマクドナルドを建て直してきた経営のプロですので、今回もマイナスからの出発を乗り越えていただけると信じていますが、それでも当面は茨の道が続くことは間違いありません。
同様に気の毒なのは、ライバルのジャストシステムでしょう。市場開拓のために名簿業者から名簿を購入する、というのは今までの企業の常識でした。しかし個人情報保護法施行以来、名簿業者も個人情報を集めにくくなっているのも事実です。これまでは試写会の応募やさまざまな懸賞の応募情報を個人情報としてきましたが、現状はそれ以外の目的での情報活用を禁じられているため、こういった活動をしにくくなっています。自社のマーケティングに利用するために自社に集まった情報を利用することは可能ですが、ビジネスを立ち上げた当初はそれも難しいため、やはり外部からの情報に頼らざるを得ません。不正競争防止法では、違法な手段で入手した情報の活用、違法な手段で収集した情報をそれを知りながら購入・利用することは禁じています。今回は違法な手段で収集した情報と知らずに購入・利用したため法律違反にはなりませんが、違法と知った以上今後は利用できませんので、購入した金額は全くの無駄になってしまいました。それどころかジャストシステムは違法手段で収集した情報と知って利用したという誤った認識をさせる報道すら行われていますので、今後の対応も厳密かつ明確な宣言をせざるをえなくなるのでしょう。いずれにせよ悪意が存在しなかった以上あらゆる意味で迷惑以外の何者でもないでしょうから、気の毒としかいいようがありません。(ジャストシステムは、入手した情報をすべて廃棄・消去したようです。)
今回のような情報漏洩は、過去から都度都度発生してきた犯罪ですし、今後も完全になくなることはないと思います。むしろ企業待遇に不満を持っている社員が相対的に増えているからこそ、期待値としては上がってしまう犯罪のようにも思えます。安直に社員に対し啓蒙活動を行ってセキュリティ意識を高めるとか、セキュリティ体制を見直し、厳密な運用を行う、などといった概念論では防げない犯罪のように思われます。大切なことは漏らさないことですが、それ以上に漏れたことを発見しいち早く対応を打つことです。漏れない努力以上に漏れを早期に発見する仕組みを完備し、それを牽制の根拠として犯罪の発生を防いでいく。こういった努力が企業には要求されますし、これだけ多くのインターネット販売会社が生まれたからこそ真剣に考えるべきことのように私には思えます。
=======================================
先週面白かった日経産業新聞の記事は、以下の通りです。
・都合により、近日更新いたします。
今週は、どんな一週間なのでしょうか。
