ベネッセ情報流出問題から考える防止対策

ベネッセホールディングスの顧客情報流出問題の概要が、徐々に明らかになってきました。

データベースの保守業務を委託された外部業者のＳＥがデータを持ち出し、名簿業者に売ったと報道されています。

このような事件を防ぐためには、何をしなければならないかを考えてみます。

事件の背景

防止策を考えるにあたり、事件の背景を整理しておきます。なお、当事者しか知らないこともあるため、仮定を含んでいます。

情報の価値

個人情報保護法の施行により、住民基本台帳の閲覧ができなくなりました。

それ以来、名簿は、ベネッセのようにイベントなどで独自に集めなければならず、ダイレクトメール業者にとって、非常に価値の高いものになりました。

ベネッセの持っている名簿の価値は100億円単位だという話もあります。

名簿業者の存在

個人情報を含む名簿を売買する業者があります。

個人情報保護法は、個人情報を含む名簿の売買を許すように作られています。

個人情報保護法の趣旨は、個人情報を本人の同意なしに扱うことを禁止することです。

個人情報を扱うときは、使用目的を明確にして本人の同意を得なければなりません。使用目的が異なる使い方をするときは、再度、本人の同意が必要です。

本来の趣旨からすると、名簿を買った業者は、その使用目的について本人の同意が必要です。しかし、個人情報保護法では、それは求められていません。

名簿を買った業者は、自社の個人情報使用目的を明確にしておくだけで、買った名簿を使えます。

名簿に載っている人は、どの業者がどのような目的で自分の個人情報を扱っているのかわからない状況になります。

これは、個人情報保護法の趣旨に反すると思いますが、名簿の売買は許されたままになっています。

名簿業者を存続させるためとしか思えませんが、それについては、『個人情報を含む名簿の売買が禁止できない理由』の記事に書きました。

名簿の売買が合法化されているために、盗み出した名簿を売りやすいということは、まぎれもない事実です。

USBメモリの利用・暗号化

USBを使えなくする、データを暗号化するなどの防止策もありますが、業務上USBを使う、データを復号するということもあります。

USBを使える人、データを復号できる人を絞るという策も当然ありますが、権限を持った人であれば、できてしまうことには変わりはありません。

業務の詳細がわからないので、想像するしかありませんが、業務上USBも使い、データの復号も必要だったと仮定します。

セキュリティ教育

通常、このような作業を行う人には、定期的にセキュリティ教育を行います。

データが漏えいした場合の影響や、万が一自分のミスでデータ漏えいすると、莫大な損害賠償責任を負う可能性のあることなども学びます。

犯人は、データ流出が明らかになれば、データをコピーした記録も残っているため、自分が持ち出したことが分かってしまうことを十分認識していたはずです。

このあたりのことは、『ベネッセのデータを盗み出した犯人が罪を犯した理由』に書きました。

防止対策

さて、このような状況で、どのような防止策をとれるでしょうか？

『横行する名簿売買、背景に規制の不備：日経ビジネスオンライン』の記事では、次のように書かれています。

専門家が揃って有効な手段だと指摘するのは「ログ（動作記録）のチェック」だ。セキュリティー対策のS&Jコンサルティングの三輪信雄社長は「ベネッセHDは、昨年末にデータが盗まれたのに、外部から指摘されるまで情報漏洩を見つけられなかった。そういう疑いを持ってログをチェックしていなかったことがほぼ唯一の落ち度」と指摘する。

作業する人とは別の組織にログの監視をさせれば、もう少し早くデータの盗難を見つけることはできたと思います。

しかし、ログ監視の費用はかかりますが、データの盗難に早く気づくだけで、防止することにはつながりません。

それでは、どのようにすれば今回の事件を防止できたでしょうか？

ひとつの案は、すべての作業を必ず２人でやらせることです。一人が作業し、もう一人は作業内容をチェックリストでチェックしていきます。

ひとりで作業することも、チェックリストにない作業をすることも許してはいけません。作業場への入場も必ず二人一組で行います。

作業ミスを防ぐために二人体制をとることは多いのですが、報道によると一人で犯行に及んだようです。

一人でコンピュータを操作する余地があったということです。

防止策の一つは、一人でコンピュータの操作をできないようにすることです。