26 コンプライアンス, 情報セキュリティ, 個人情報保護法, その他

情報流出事件に関する報告書を公開

ベネッセホールディングスは2014年9月25日情報流出事件に関する報告書を公表した。対策の柱は緊急対策の実施とＩＴガバナンス（企業が情報システムの導入・運用を組織的に管理する仕組み　詳細は　e-Words [ITガバナンス]　を参照）の強化、外部監査機関の設置である。

ベネッセの情報流出事件とは

今年7月にベネッセコーポレーションから大量の顧客情報が流出したことが発覚した。原因はベネッセのグループ会社（シンフォーム）から業務委託を受けた会社の社員が、顧客情報が保存されたデータベースにアクセスしその情報を外部の名簿業者に売却したことである。
この事件は過去最大規模の情報流出であったことから社会に大きな衝撃を与えた。企業における情報セキュリティー対策の重要性が再認識されて、経済産業省も「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改定する動きを見せている。

緊急対策の実施

まずアクセス権限の見直しを行い、必要最小限度の担当者にしか付与しない、パスワードの強化などを行う。情報流出事件は業務委託を受けた会社の社員が業務とは無関係の顧客情報を保存したＤＢにアクセスできたことが原因で発生しており、それを踏まえての対策と思われる。
そしてダウンロード管理者の設置、大量データをダウンロードする場合のアラート（警告）機能、アクセスログの管理強化を行い、情報流出の範囲を限定・流出した際の早期発見を出来るようにする。
さらに業務端末に外部記録媒体の接続を不可能にし、執務室に私物の電子機器の持込の禁止、監視カメラの設置を行う。今回の情報流出はスマートフォンを業務端末に接続して流出させていたことから、これらの対策を行い情報流出ルートの根絶を図る狙いがみえる。

そのほかの対策

グループ全体のＩＴガバナンスの強化を行う。
まず全てのＤＢをベネッセホールディングス本社が一元管理する。
そしてこれまでグループ会社のシンフォームが行っていた保守運用業務を新たにセキュリティー会社と合弁で設立した会社が行う。今回の情報流出の原因となったデータベースの保守運用の外部委託を行わないようにする。
さらに外部監査機関による定期的な監査を行うとのことである。

ベネッセは事業を運営していくのに不可欠な消費者からの信頼を失い、株価も大きく下落した。今回発表された対策を実行していくことで失った信頼の回復に繋がるか注目される。

他の企業に求められる対応

今回の事件により情報セキュリティー強化の重要性が改めて浮き彫りになった。今回のような情報流出が起こると会社規模によっては存続すら難しくなるほどの損害が生じてしまう。
ベネッセが公表した対策は流出事件を踏まえてしっかりとした内容になっているので、他の企業も今回のベネッセの対策を参考に情報セキュリティーの強化を図るべきである。
またまもなく経済産業省の個人情報保護に関するガイドラインの改訂版が公表されるはずなので、そちらも注視していきたい。