ベネッセコーポレーションの顧客情報流出問題は、外部業者のSEが関与を認める供述をしたと報道されています。
私が気になるのは、なぜ犯人はデータを盗み出したかです。
つまり、データをコピーすれば、記録が残り、自分が犯人だと簡単にわかってしまうにもかかわらず、なぜあえてやったのかです。
ベネッセのセキュリティ対策を疑問視する意見もありますが、それについては今後の発表を待たなければなりません。
USBメモリは金属探知機では見つけられません。下着の中でもどこでも隠せます。
USBを使えるようにしていたのは、業務で必要だったのかもしれません。
セキュリティ強化のためインターネットから完全に切り離したシステムで運用していたのならば、USBメモリはインターネットに接続したシステムとのデータ交換のために使っていたのかもしれません。
運用を2人で行うことを義務づけていたとしても、ベテランの者が「ここは一人でやっておくから、別の仕事を先にやってくれ」などと言った場合に、入ったばかりの者が反論できるように教育しておくことは、かなり難しいことです。
セキュリティは、強固にすればするほど、費用もかかり、運用も面倒になります。守るべきデータの機密性との見合いで、セキュリティの強度を決める必要があります。
ベネッセの顧客情報のセキュリティを警視庁の情報機関と比較した意見もありますが、同じ程度のセキュリティとすることが適当とは思えません。
罪を犯せば必ず見つかるということは、強い抑止効果があります。「性善説に立った対策の限界」という意見もありますが、これは性善説に立っているわけでもありません。
今回の事件で犯人は、データの漏えいが見つかれば、自分がやったことがわかると知っていてやったと思います。
そこで、罪を犯した理由を現時点で考えられる範囲で想像してみます。
脅されていた
誰かに弱みを握られ、脅されていたということが考えられます。データを盗み出さなければ、弱みをばらすということです。
だまされた
誰かに、データの持ち出しは罪にならないと、だまされたことも考えられます。事実、データの持ち出し自体は罪にはならず、警察は不正競争防止法違反(営業秘密の複製・開示)の疑いで調べています。
犯人は、不正競争防止法違反になると思わなかったと考えられます。
データ漏えいがばれないと思った
盗み出したデータをまとめて売らず、一か所には一部だけを売るようにしておけば、ベネッセから流出したデータとはばれないと考えた可能性もあります。
全体が一致しているのでなければ、わからないだろうと考えたということです。
まとめ
売れば金になること以外は考えなかった可能性もありますが、上記の可能性のどれか、または組み合わせではないかと推測します。
このような事件が起こってしまった以上、顧客情報のセキュリティ管理は、アクセス記録をとり犯罪を防止するだけでは不十分で、より強固なセキュリティが常識となってしまいました。
以下の関連記事も参考にしてください。
