• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP

内部犯行の対策に“抜け”があった

武田圭史慶大教授に「ベネッセ問題」を聞く(前編)

2014年7月18日(金)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

 ベネッセホールディングス(HD)の情報漏洩は、流出した個人情報の数は最大2070万件になる可能性があり、国内で過去最大級の事件となった。ベネッセHDの顧客情報が抜き出されたのは、同社から顧客データベースの保守管理を委託されたグループ会社「シンフォーム」が、業務を再委託した先の企業だ。そこに派遣されていたSE(システムエンジニア)が情報を取り出し、名簿会社に持ち込んだ。このSEは7月17日、不正競争防止法違反(営業秘密の複製)容疑で逮捕された。それを受け、ベネッセHDは、顧客への謝罪として200億円の原資を準備し、お詫び品や受講費の減額などを検討すると発表している。

 ベネッセHDの情報管理体制に不備はなかったのか。今回はセキュリティの専門家である慶應義塾大学 環境情報学部の武田圭史教授に、企業が持つ情報をどう管理していけばいいか、そして名簿売買が横行している現状を改善していくにはどうしたらいいかについて話を聞いた。

(聞き手は小野口哲)

武田 圭史(たけだ・けいじ)氏
慶應義塾大学環境情報学部教授。専門は情報セキュリティ。慶應義塾大学大学院政策・メディア研究科後期博士課程修了。防衛庁航空自衛隊勤務の後、アクセンチュア、カーネギーメロン大学、同日本校を経て、2009年より慶應義塾大学環境情報学部教授。情報セキュリティ侵害の検知対応等に関する研究、情報セキュリティ人材の育成にも携わる。

今回のベネッセHDの情報漏洩は、過去最大規模の個人情報漏洩事件になりました。ベネッセHDの情報管理体制のどこに問題があったのでしょう。同社の管理体制は「他社よりしっかりしている」と一定の評価を示す声もあるようですが。

武田:事件の発覚から1週間がたって、事件の概要が徐々に明らかになりつつありますが、まだ分からないところも多くあります。

 日経新聞の報道などによれば、データベースが不正閲覧されたのは、シンフォーム東京支社の部屋で、一般社員の立ち入りが厳しく制限されていたとのことですから、ある程度、個人情報の重要性を踏まえて、管理していたのだと思われます。ただ、データはパソコンのUSBポートを経由して、記憶媒体(スマートフォン)にコピーして持ち出されたのですからデータの持ち出しについての管理が十分ではなく、甘さがあったことは事実でしょう。

コメント10件コメント/レビュー

箱物にばかりお金をかけ、中身は疎かなまま。日本企業の典型だと思います。一体いつになれば「技術」に対して正当な対価を支払う様になるのでしょうか。(2014/07/18)

「ベネッセ問題から考える情報管理」のバックナンバー

一覧

「内部犯行の対策に“抜け”があった」の著者

小野口 哲

小野口 哲(おのぐち・あきら)

日経ビジネスアソシエ副編集長

日経バイト、日経モバイル、日経パソコン、日経コンピュータ、日経PC21、日経ビジネスなど日経BP社の雑誌を渡り歩き、2015年4月から現職。趣味・生きがいは“食べること”。

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント

いただいたコメント

箱物にばかりお金をかけ、中身は疎かなまま。日本企業の典型だと思います。一体いつになれば「技術」に対して正当な対価を支払う様になるのでしょうか。(2014/07/18)

一番の問題は、システム運用の仕組みが未だに「性善説」に基づいている事だと思う。一昔前の、誰もが「将来は重役」の夢を持って遮二無二頑張っていた時代と比べると、現在は雇用形態一つとっても正社員が少なく、多くの業務は外部業者に委託されていたり、契約社員や派遣社員を使っている。即ち、身分保障が十分でない人達が過半数を占める状況の下で、「人は皆善人」を基本とした仕組みでは「穴だらけ」と言わざるを得ない。外部業者に保守管理を委託しているにも拘らず、保守管理行うためのアカウントを「何でも出来る」ものにしているのが良い例だ。外部のシステム保守業者にはプログラムの点検や設計変更等の権限は与えても、重要情報や顧客情報等にアクセスさせては不味い。必要な場合は、その権限を持った社員が立ち会いの下で作業し、終わったら元に戻す。こんな当たり前の事が出来ていないのは驚くと言うよりも、呆れざるを得ない。更に言えば、重要情報をダウンロードやコピーしたり出来るシステム環境で作業させる事は止めた方が良い。メール機能も、不便ではあっても制限せざるを得ない。いわゆる「ダム端末」であれば、容易に前述の制限をする事が可能だ。個人情報漏洩が問題になり出してから、既に十年以上の年月が経っているのに、未だに一流企業ですら同じ問題を起こしている事実は救い様が無い。恐らく、多くの経営者がシステムに疎く、IT担当者に「そうせい!」で済ませているのだろう。システム依存が高くなっている今日、ITを理解出来ない人を取締役等の地位に就ける事が大きな間違いだ。特に、情報セキュリティーに関して明確な考えをもっていない人は排除する位でないと、サイバーテロにも情報の不法コピーにも対応出来ないだろう。(2014/07/18)

「iPhone便利!」「BYOD便利!」とか言って、iPhoneを所有している事がステータスになるような人達が取締役勤めている方が多いですからねぇ。。。 スマホ用のウィルス対策ソフトの効果がPC以下な事も知らない事も知らない派遣先の正社員様も、しょっちゅうお目に掛かるし。(2014/07/18)

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック

閉じる

日経ビジネスオンライン

広告をスキップ

名言~日経ビジネス語録

日本の経営者は、経験を積んだ事業なら 失敗しないと思い込む傾向がある。

三品 和広 神戸大学教授