ベネッセホールディングス(HD)の情報漏洩は、流出した個人情報の数は最大2070万件になる可能性があり、国内で過去最大級の事件となった。ベネッセHDの顧客情報が抜き出されたのは、同社から顧客データベースの保守管理を委託されたグループ会社「シンフォーム」が、業務を再委託した先の企業だ。そこに派遣されていたSE(システムエンジニア)が情報を取り出し、名簿会社に持ち込んだ。このSEは7月17日、不正競争防止法違反(営業秘密の複製)容疑で逮捕された。それを受け、ベネッセHDは、顧客への謝罪として200億円の原資を準備し、お詫び品や受講費の減額などを検討すると発表している。
ベネッセHDの情報管理体制に不備はなかったのか。今回はセキュリティの専門家である慶應義塾大学 環境情報学部の武田圭史教授に、企業が持つ情報をどう管理していけばいいか、そして名簿売買が横行している現状を改善していくにはどうしたらいいかについて話を聞いた。
慶應義塾大学環境情報学部教授。専門は情報セキュリティ。慶應義塾大学大学院政策・メディア研究科後期博士課程修了。防衛庁航空自衛隊勤務の後、アクセンチュア、カーネギーメロン大学、同日本校を経て、2009年より慶應義塾大学環境情報学部教授。情報セキュリティ侵害の検知対応等に関する研究、情報セキュリティ人材の育成にも携わる。
今回のベネッセHDの情報漏洩は、過去最大規模の個人情報漏洩事件になりました。ベネッセHDの情報管理体制のどこに問題があったのでしょう。同社の管理体制は「他社よりしっかりしている」と一定の評価を示す声もあるようですが。
武田:事件の発覚から1週間がたって、事件の概要が徐々に明らかになりつつありますが、まだ分からないところも多くあります。
日経新聞の報道などによれば、データベースが不正閲覧されたのは、シンフォーム東京支社の部屋で、一般社員の立ち入りが厳しく制限されていたとのことですから、ある程度、個人情報の重要性を踏まえて、管理していたのだと思われます。ただ、データはパソコンのUSBポートを経由して、記憶媒体にコピーして持ち出されたのですからデータの持ち出しについての管理が十分ではなく、甘さがあったことは事実でしょう。