ベネッセ 情報流出に関する報告書を公開
2014/09/26 コンプライアンス, 情報セキュリティ, 個人情報保護法, その他
情報流出事件に関する報告書を公開
ベネッセホールディングスは2014年9月25日情報流出事件に関する報告書を公表した。対策の柱は緊急対策の実施とITガバナンス(企業が情報システムの導入・運用を組織的に管理する仕組み 詳細は e-Words [ITガバナンス] を参照)の強化、外部監査機関の設置である。
ベネッセの情報流出事件とは
今年7月にベネッセコーポレーションから大量の顧客情報が流出したことが発覚した。原因はベネッセのグループ会社(シンフォーム)から業務委託を受けた会社の社員が、顧客情報が保存されたデータベースにアクセスしその情報を外部の名簿業者に売却したことである。
この事件は過去最大規模の情報流出であったことから社会に大きな衝撃を与えた。企業における情報セキュリティー対策の重要性が再認識されて、経済産業省も「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改定する動きを見せている。
緊急対策の実施
まずアクセス権限の見直しを行い、必要最小限度の担当者にしか付与しない、パスワードの強化などを行う。情報流出事件は業務委託を受けた会社の社員が業務とは無関係の顧客情報を保存したDBにアクセスできたことが原因で発生しており、それを踏まえての対策と思われる。
そしてダウンロード管理者の設置、大量データをダウンロードする場合のアラート(警告)機能、アクセスログの管理強化を行い、情報流出の範囲を限定・流出した際の早期発見を出来るようにする。
さらに業務端末に外部記録媒体の接続を不可能にし、執務室に私物の電子機器の持込の禁止、監視カメラの設置を行う。今回の情報流出はスマートフォンを業務端末に接続して流出させていたことから、これらの対策を行い情報流出ルートの根絶を図る狙いがみえる。
そのほかの対策
グループ全体のITガバナンスの強化を行う。
まず全てのDBをベネッセホールディングス本社が一元管理する。
そしてこれまでグループ会社のシンフォームが行っていた保守運用業務を新たにセキュリティー会社と合弁で設立した会社が行う。今回の情報流出の原因となったデータベースの保守運用の外部委託を行わないようにする。
さらに外部監査機関による定期的な監査を行うとのことである。
ベネッセは事業を運営していくのに不可欠な消費者からの信頼を失い、株価も大きく下落した。今回発表された対策を実行していくことで失った信頼の回復に繋がるか注目される。
他の企業に求められる対応
今回の事件により情報セキュリティー強化の重要性が改めて浮き彫りになった。今回のような情報流出が起こると会社規模によっては存続すら難しくなるほどの損害が生じてしまう。
ベネッセが公表した対策は流出事件を踏まえてしっかりとした内容になっているので、他の企業も今回のベネッセの対策を参考に情報セキュリティーの強化を図るべきである。
またまもなく経済産業省の個人情報保護に関するガイドラインの改訂版が公表されるはずなので、そちらも注視していきたい。
関連リンク
新着情報
- ニュース
- 金融庁にルール変更の動き、「真の株主」把握しやすく2024.4.19
- NEW
- 金融庁は株主名簿に載らないが、株主総会で議決権を持つ実質的な株主を企業が把握しやすくするよう...
- セミナー
- 岡部 真記弁護士
- 髙瀬 政徳弁護士
- 【リアル】法務担当者の役割とコンプライアンス教育(座談会)-法務担当者向け 法務基礎シリーズ-
- NEW
- 2024/07/04
- 15:30~17:00
- 解説動画
- 加藤 賢弁護士
- 【無料】上場企業・IPO準備企業の会社法務部門・総務部門・経理部門の担当者が知っておきたい金融商品取引法の開示規制の基礎
- 終了
- 視聴時間1時間
- 解説動画
- 岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分
- 業務効率化
- LegalForce公式資料ダウンロード
- 弁護士
- 野口 大弁護士
- 野口&パートナーズ法律事務所
- 〒530-0047
大阪府大阪市北区西天満1-2-5 大阪JAビル12階
- 弁護士
- 大口 裕司弁護士
- 三村小松法律事務所
- 〒100-0005
東京都千代田区丸の内2-1-1 明治生命館 6階
- 業務効率化
- Lecheck公式資料ダウンロード
- まとめ
- 中国「データ越境移転促進・規範化規定」解説2024.4.23
- NEW
- 中国の現行法令上, 香港・マカオ・台湾を除く中国本土内(「境内」)から境外への個人情報等の移転...