6月下旬 顧客から「ベネッセにしか登録していない住所に、他の教育産業会社からのダイレクトメール(DM)が届いている」とした苦情が相次ぎ、調査を開始して発覚。
6月30日 警視庁に連絡し、 視庁生活経済課が不正競争防止法違反(営業秘密侵害)などの疑いで捜査を開始。
7月9日 記者会見で発表。 760万件の流出を確認、最大2070万件流出の可能性がある事が判明する。
7月10日 個人情報の購入・流用先がジャストシステムと判明。
7月14日 下請け業者の派遣社員を事情聴取。
7月16日 派遣社員逮捕目前。
問題は、この事件は起きるべくして起きたと言う点です。
現在、個人情報保護法、指針、プライバシーマーク、ISO27001等、個人情報を守るべき法やマネジメントしうステムが存在します。
これらの法や指針、システムでは、十分に保護されていないのが現状です。
その理由は、
- 法の罰則が緩い事。
- 会社トップをはじめ、従業者が個人情報の価値を認識していない事。
- 外注に委託する場合、十分な対価を払わない場合がある事。
- コンプライアンス意識の欠如
- プライバシーマークの運用不十分
これらに原因がると思われます。
ベネッセはプライバシーマークの認証を受けている会社でもあります。
10190316(05) 株式会社ベネッセコーポレーション 岡山県岡山市北区南方三丁目7番17号 出版業 28.01.30 JIPDEC 2006
10190316(05) 株式会社ベネッセコーポレーション 岡山県岡山市北区南方三丁目7番17号 出版業 28.01.30 JIPDEC 2006
プライバシーマークでは、運用をしっかりしていれば、拘束力の高いマネジメントシステムでありますが、看板だけ取得している場合は、何の意味も持ちません。
ベネッセの場合、データベースのログ解析を定期的におこなっていなかった可能性があります。
プライバシーマークには安全管理措置で、「定期的に個人情報へのアクセスログを点検しなさい。またログを保管しなさい。」 と、望ましい手法が例示されています。
これは、設備機器にも関係するので、出来る組織とできない組織が出てきます。
しかし、ベネッセが出来ない組織とは考えられない。
ベネッセは十分な安全管理措置を講じていなかった為、今回の個人情報の流出に繋がった。
何故十分な安全管理措置を講じていないか、それは個人情報の価値を理解していないからです。
ベネッセでは、調査の際に、過去にさかのぼって、調査を行い、2013年12月までさかのぼって痕跡を発見し、そこから下請けの派遣SEを割り出したようです。
(警視庁、持ち出し者特定 下請け業者など強制捜査へ 産経新聞)。
しかし、警視庁の取り調べでは、発覚の直前までコピーし転売をしていたと供述しています。
(「数百万円で売却」発覚直前まで複写 近く逮捕 産経新聞)
この点でも、すぐに該当者を特定出来たはずなのですが、ベネッセでは2013年の12月までさかのぼらなければならなかった。これはおかしな話です。
ベネッセの問題を上げると
(警視庁、持ち出し者特定 下請け業者など強制捜査へ 産経新聞)。
しかし、警視庁の取り調べでは、発覚の直前までコピーし転売をしていたと供述しています。
(「数百万円で売却」発覚直前まで複写 近く逮捕 産経新聞)
この点でも、すぐに該当者を特定出来たはずなのですが、ベネッセでは2013年の12月までさかのぼらなければならなかった。これはおかしな話です。
ベネッセの問題を上げると
- USBの持ち込み
- アクセスログの点検
- コピー記録の点検
- 委託先の管理
- 教育
これらの問題が浮き上がります。
そして最大の問題はコピー。アクセス権には全ての権利を与えていたかと言う点。
閲覧は出来るけれど何もできない。
閲覧・加工までは出来る。
閲覧・加工・ダウンロードまでできる。
アクセス権も分権する事が出来ます(システム上お金がかかりますが)。
そして、委託業務内容が判りませんが、委託先でコピーをしなければならない業務を委託していたのか。
個人情報の安全管理措置の側面だけを見ると、今回の個人情報流出は、ベネッセの自爆です。
0 件のコメント:
コメントを投稿