ベネッセ情報漏えい事件の問題点

ベネッセの顧客情報流出問題の報道が一巡したようです。

いろいろな人が意見を述べていますが、見当違いではないかと思えるものも見受けられます。

ベネッセの問題点

報道されている範囲から判断すると、ベネッセのセキュリティ上の問題点は次の２点です。

容疑者がデータを盗み出した端末は、本来であればUSBメモリ等を接続しても認識しないようにしていたはずでした。

ところが、容疑者がスマートフォンを接続したところ、認識されデータをスマートフォンにコピーできる状態になりました。

USBにセキュリティホールがあったということです。

コンピュータのアクセスログはとられていましたが、そのチェックはされていませんでした。

そのため、顧客からの指摘があるまで、半年以上、情報漏えいにに気づきませんでした。

容疑者はベネッセの子会社に派遣されていたＳＥです。経験20年以上で指導的立場であったと報道されています。

派遣されていたＳＥにデータアクセス権のある仕事を任せていたことを問題視する意見もあります。はたして、そうでしょうか？

実態からいえば、派遣されたＳＥや業務請負先のＳＥが、セキュリティ上重要な仕事を行うことは、珍しくありません。おそらく、ほとんどの上場企業で行われていることです。

日本では、自社の業務システムを自社の要員だけで保守・運用している企業はほとんどありません。

セキュリティ教育等は外部の要員に対しても行うことが普通です。社員であれば問題を起こさないという保証はどこにもありません。

データのアクセス権は、必要最小限のしかるべき要員に与えられるべきですが、その要員が社員か外部の人間かは本質的なことではありません。

ＳＥの待遇が悪いから犯罪に手を染めるという意見もあります。十分な報酬があれば、お金に困って悪いことをする可能性は低くなるという主張です。

今回の事件の容疑者もお金に困っていたと報道されています。

事務員が会社から多額のお金を横領するような事件でも、同じことが言われます。普段の仕事で扱っているお金と自分の給料のギャップが、事件の引き金になるという主張です。

会社の事務作業に不正ができる穴を見つけ、多額のお金を手に入れられると知ったら、手を染めてしまうということです。

根っからの悪人ではない普通の人が、犯罪者になることもあり得る話です。その可能性を少なくすべきだという意見です。

銀行はそのために高給を払っているという見方もあります。

また、データのアクセス権は、高給を払っている要員にだけ認めるべきだという考えにも行き着きます。

確かに一理あり、リスクの軽減にはなると思います。

報酬は仕事の生む付加価値に基づいて支払われるべきです。重要な情報を扱うということは、付加価値を生んでいるとも言えます。

高い報酬を得ている人だけが重要な情報を扱い、報酬の低い人は重要な情報を扱わず、報酬によりデータのアクセス権を分離することが、リスクの軽減につながります。

個人情報を含む名簿の売買は野放しです。個人情報保護法はザル法です。

せめて名簿の入手元の明示を義務づけることが必要です。

セキュリティ事件を完全に防ぐことは不可能です。

それでも、費用をかければかけるほど、セキュリティは強固になります。その分、運用は煩雑になります。

守るべき秘密の価値との関係で、どこまで費用をかけるかを決めることになります。

セキュリティホールはバグと同じで、完全になくすことは不可能と言えます。

USBさえ使えなければ、情報漏えいを防げると考える人もいますが、保守・運用のためには、サーバーのデータにアクセスする権利を有する人も必要です。

そのような人からすれば、端末のUSBが使えなくても他からデータを盗み出すことは可能です。

防犯カメラは何か事件があった時に調べるのが普通です。すべての防犯カメラの映像が、常にチェックされているわけではありません。

アクセスログをとっているだけで、不正アクセスをしたら見つかるという、けん制効果があります。常にチェックをしていなければ無意味というわけではありません。

アクセスログを別の組織で常にチェックをしていれば、情報流出の発見は早まりますが、それでも流出した後で発見するだけで防ぐことはできません。

それにもかかわらず、費用はかかります。

システムを運用するためには、なんでもできる権限を持つ人も必要です。そのような人が捕まる覚悟をして、データを盗み出す場合もあります。

そのような人に高い報酬を払っておくことは、リスクの軽減にはなりますが、完全に防ぐことにはなりません。

こういったことを理解しないまま行われる議論は、見当はずれのものになります。