ベネッセ、シンフォームとも自社で実用レベルのSEを抱えてはいません。

システム開発の基本はベネッセからシンフォームへ発注、そしてシンフォームから下請けへの丸投げ。
システム導入後は、下請け会社から運用SE（オペレーターレベルまたは新人）をシンフォームに派遣して、運用。

サーバー室への入出権限ID、サーバー管理者アカウントを取得するまでは結構手続きが多いのですが、かと言って、それをもらう側は、事前に面接があるわけでもなく、シンフォームに簡単なスキルシートと顔写真を提出することぐらいです。
書類の提出は下請け会社の営業担当者がやってくれています。

派遣されるSEがやるのは、派遣初日にシンフォーム側の担当者への挨拶とセキュリティー研修を受けることだけです。

シンフォーム側の担当者はSEではなく管理業務担当であるだけで、現場に姿を現すことも少ないのです。

たいていの場合、他社の下請けSEや自社の先輩SEが現場リーダーだったりします。

たまにシンフォームの名刺を持って、ベネッセに挨拶に行ったり、作業したりもありますね。

ベネッセやシンフォームは、入ってしまえばセキュリティーが非常に緩いのが実情です。

今時、IT会社でUSBメモリを差し込めるようにしてあるのも非常識ですが、端末のUSB端子にはピンク色のシールが貼ってるだけで、ほぼ無制限にUSBメモリを差し込めます。

それでも事務用のPCには、USBメモリに書き出すときに暗号化とセキュリティーキーが必須になっているので、以外と面倒くさいのですが、サーバー室の端末は、利便性を優先して、暗号化とセキュリティーキーを設定していないものがあります。

それは、ベネッセもシンフォームも下請け会社も、基幹システムに携わる人間は悪いことをしないだろうという、非常に楽観的な思い込みで運用していたからなのですが。

シンフォームが岡山に重点を置いて活動していた時期は、それでもあまり問題なく回っていました。

しかし、4年前、ベネッセの基幹システムのリニューアルで、シンフォームが大失敗して、大きな損失を出したことにより、幹部交代劇やシンフォームの拠点を東京多摩センターに移したことで、下請け会社の入れ替えが行われました。

私が現役のころの経験上、ベネッセの基幹システムに携われたのは、下請け会社の中でも信頼性や技術力の高いSEだけだったのですが、会社間の長年の信頼関係（利害関係・主従関係）が崩れてしまった状態では、下請け会社の質の向上や中に居るSEの質の向上をすぐに見込めるモノではありません。

今回の個人情報流出事件は、ベネッセ、シンフォーム、下請け会社の状態から起こるべくして起こった事件なのだと思います。