開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社ミロク情報サービス、NTTソフトウェア株式会社、他提供コンテンツ

  • スペシャル
  • 会員限定
  • 2016/08/29
 ベネッセ監視委員 上原教授に聞く、相次ぐ情報漏えい事件から企業が学ぶべきことは何か

ベネッセの情報漏えい事件が、社会に与えたインパクトは非常に大きかった。それだけに、事件から企業が学ぶべきことも多いはずだ。事件後、同社は社外からの定期的な監査を目的に情報セキュリティ監視委員会を設立した。その委員をつとめる立命館大学 情報理工学部/情報システム学科の上原哲太郎教授に、ベネッセ事件の影響と同社のその後のセキュリティ対策、事件から企業が学ぶべきポイント、さらに中小企業がとりうる対策などを聞いた。


ベネッセの情報漏えい事件が与えたインパクトと事件後の同社のセキュリティ対策

photo
立命館大学 情報理工学部
情報システム学科 教授
上原 哲太郎 氏
 2014年7月9日に発覚した、最大3504万件の顧客情報が漏えいしたベネッセの事件は、同社のビジネスに非常に大きいインパクトを与えた。進研ゼミの会員数は約2/3に減少し、集団訴訟も起きた。

 その結果、同社は3期連続の減収減益となり、2016年6月、原田会長兼社長の退任が発表された。ただ、件数だけではなく、漏えいの中身も冷静に見る必要があるのではないかと、上原教授は指摘する。

「件数が多かったことが注目を集めた1つの原因だったと思いますが、漏えいした情報はDMで利用される住所や氏名であり、同社が持つ会員の成績データほど機微姓は高くありません。その視点で見ると、プライバシーインパクトとしては、それほど大きくなかったという見方もできます」

 確かに情報漏えいのインパクトは本来、件数だけはなく漏えいした情報の中身も加味して検討することが重要だ。こうした議論も受けて、2015年9月に改正された新しい個人情報保護法では、個人情報の中でも特に配慮が必要な「要配慮個人情報」が新たに定義されている。上原教授も「要配慮個人情報により、少しメリハリがついてくるとは思いますが、浸透するまでにはまだ時間がかかるでしょう」と指摘する。

 ベネッセの事件では、外部からの攻撃にはそれなりに対応していたものの、業務委託先の契約社員によって情報が持ち出される「内部不正」が原因だったことも注目された。ただ、その後のベネッセのセキュリティ面での対応には学ぶべき点も多いという。

「事件後、情報セキュリティ企業のラックと合弁で新しい会社を設立し、個人情報を守る非常に堅固なシステムを構築しました。4段階の物理的ゾーニングを行い、トップレベルのマスターデータベースがある部屋はガラス張りで、生体認証とICカードの認証が通らないと入室できません。その前段階にはボディチェックがあり、その手前ではミリ波によるボディスキャナでUSBメモリやSDカードの有無をチェックされます。しかも、出入り口には警備員2名が常駐する念の入れようです。さらに興味深いのは、その仕組みを見学できるように公開している点です。ここまでレベルの高い環境で個人情報を扱っている企業は、他にはなかなか見当たらないでしょう」

この続きは会員限定です

ここから先は「ビジネス+IT」の会員の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!