開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/07/23

ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは

6月19日に政府が発表したパーソナルデータ利活用に関する制度見直し大綱案に対し、現在パブリックコメントの募集が行われている。来年1月に関連法案の提出を見込んだ動きだが、ここにとんでもない「爆弾」が落とされた。ベネッセコーポレーション(以下、ベネッセ)の顧客名簿の流出事件だ。同様な事態は、企業側がいくら適正にパーソナルデータを扱っていたとしても起こり得るため今回は、この法改正の動きに影響を与える可能性を考えてみたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

ビッグデータ利活用の議論が活発化

 アベノミクスが掲げる3本の矢のひとつに「民間投資を喚起する成長戦略」がある。

 これに関してIT業界が注目しているのがビッグデータ利活用による市場創出など経済の活性化だ。企業側は、今後のIT戦略、とくに国際市場でのビジネスを考え、ビッグデータの利活用をビジネスチャンスとして、個人情報保護法の改正を含んだ動きに期待をかけている。

 これに対してセキュリティの専門家や法律家などから、歯止めのないパーソナルデータの活用はプライバシーや人権問題につながり、国際的に通用する基準や規制がないと海外の情報を利用できず、国内の情報を一方的に利用されるだけとなるなど問題を指摘する声も上がっている。

 政府は、成長戦略のひとつとしてビッグデータ活用を掲げており、19日に発表した制度見直しに関する大綱案では、個人特定を低減したデータは当事者の許諾なしに取引をできるようにするが、どのレベルを低減データとするのか、どんな情報を保護対象とすべきかなどの指針は示さず、独立した第三者機関に委ねる先送りともとれる内容となっている。そして、現在、パブリックコメントを募っているところだ。

世間を大きく騒がせた、ベネッセの顧客情報流出事件

 先日、これらの問題に深く関わり得るような大事件が発生した。

 7月9日、ベネッセは、同社保有の760万件の顧客情報が外部に漏れたことを発表。その後、流出した名簿を利用した企業、名簿を販売した名簿業者らに関する報道は周知のとおりだ。

photo
事件発生後、ベネッセでは日次で個人情報漏えいへの対応の進捗をWebサイトで報告している。

関連記事
 この事件は、グレーな名簿業者による問題が大規模に表面化しただけで、ビッグデータ利活用の問題とは異なるという見方をされる読者もいらっしゃるかもしれない。

 しかし筆者は、技術的な面や悪意の有無にかかわらず、どんなデータベースでも発生し得るインシデントであり、今後の法規制にも影響しかねないと考えている。

技術的には運用ポリシーや内部統制の問題

 まず、純粋に技術的な視点から名簿流出問題を見てみよう。9日のベネッセの発表ではすでに、漏えいは不正アクセスやハッキングではなくデータにアクセスできる外部(グループ企業ではないという意味)の者による犯行を示唆している。

 今回の事件ではベネッセは被害者でもあるわけだが(被害届を出し捜査が始まっている)、これはいわば内部犯行に分類してもよい問題であり、管理責任やデータベースの運用体制に疑問が生じる部分だ。

 詳細は捜査に影響したり、セキュリティ上の問題でもあるため公表できないだろうが、重要な顧客情報(ベネッセコーポレーションはPマークを取得している)のアクセス権限の運用次第では、漏えいの管理責任は免れないだろう。正規のPCでUSBに複数回に分けてコピーされたという報道もある。名簿のような重要データについて、USBなど外部デバイスへのコピーを許可していたのだろうか。このような運用ポリシーでは、データのコピーはもっと広範に行われていても不思議はない。

【次ページ】ビッグデータ利活用の議論に及ぶ影響とは?

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!