ベネッセの顧客情報漏洩に思う「大きな勘違い」

情報漏洩は、自分の情報を自身では管理出来ないために、預けている先の管理体制に委ねられます。色々な漏洩事件がある中、何をモノサシにして比較すればいいのでしょうか?
わかりやすいのは、漏洩数になりますが、2000万件の漏洩と10件の漏洩、数では大きく異なりますが、その洩れた内容を考えなくてはなりません。また、二次的な影響も考える必要も出てきます。

ベネッセの個人情報、最大2070万件流出か

教育事業大手のベネッセホールディングス(HD)は9日、「進研ゼミ」などの通信教育サービスや学習教室の顧客情報が最大約2070万件流出した可能性があると発表した。

 すでに約760万件の流出が確認され、顧客情報の流出としては国内で最大規模になる見込みだ。ベネッセから被害相談を受けた警視庁は、不正競争防止法違反(営業秘密開示)容疑で捜査を始めた。

うちにもDMが届いていました。。。これ最大件数も世帯当たり1カウントのようで、人数にすると4~5000万人になる模様です。

起きてしまったことは、どうにもならないとは言えませんが、何か違和感を感じるのです。もちろん起きる前に「できる対策」は相当されていたと考えるべきでしょうが、何かが違う。とは言っても、100%起きないセキュリティ対策は「あり得ない」ので、より100%に近くなるような努力が必要ですし、きっと、やっていたのでしょう。

原田泳幸氏、強い調子「社員でない」根拠示さず

消費者庁によると、最大約2070万件もの流出は国内では過去最大規模で、9日夕に緊急記者会見した同社幹部らは謝罪を繰り返す一方、「外部犯行」と強調したが、警察の捜査への影響を理由に具体的な根拠は示さなかった。

 「被疑者は、我が社のグループ社員ではございません」

 東京都内で9日夕に始まった記者会見で、親会社・ベネッセホールディングスの原田泳幸えいこう会長兼社長は、深々と頭を下げた後、強い調子でこう言い切った。

その1

被疑者はグループ社員ではない。

これ事実(捜査が進めばいずれわかりますが。。。)なのかもしれませんが、内部犯行ではないと「強調」する意味がわかりません。

どうも漏洩事件では、内部で起きたことは「管理不十分」とみられ、外部で起きること、例えばハッキングによりデータを抜かれたとか、外部の委託会社により何らかの状況でデータを盗られたとか。。。「管理が及ばない」と思われているように感じています。

しかし、実際に漏洩した企業は、社員であっても、外部委託企業であっても、管理責任が生じることは「誰にでも」わかることです。

現段階(捜査中)で強調するべきことなのでしょうか? 個人的に思うことは、この会社の「漏洩事件に対する」認識を疑いますね。

グループ社員ではない。。。と言うことで、管理出来る範囲を超えていたから「どうにも無理!」と、エクスキューズしているように感じるのは私だけなのでしょうか?

その2

グループ関係者でなければ誰?

外部委託企業以外にあるのでしょうか? 外部企業で扱う情報でも、内部で扱う情報と同様か、それ以上の管理体制が求められます。

しかし、これだけ大量の漏洩が結果出来てしまうということは、どのような管理をしていたのでしょう?

部分的なデータへのアクセスは必要でしょうが、全データへのアクセスは「限られた人」しか出来なくしているのが、通常考えられる運用です。部分的なアクセスを2,000万件して集めたデータならば「どうにも無理!」かもしれませんが、2,000万件にアクセスするための「時間と手間」を考えれば現実的ではありませんし、仮にそんなアクセスをしていたら「何らかの警告」があってもいいでしょう。

結局、外部企業の人間が情報を盗ることが出来たということですよね。

【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯

ベネッセHDは「顧客情報という営業機密が持ち出され、利用される行為は、不正競争防止法違反に当たる可能性がある」としているが、最終的には警察の判断になるという。さらに、調査会社が容易に名簿を入手できたことからも、この名簿が別の業者に流出している可能性もある。
 
 ベネッセは、情報が漏えいした顧客に対して個別に手紙または電話で連絡するとしているが、「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」(原田会長兼社長)としている。

その3

洩れたデータはどうなるの?

よくある「お詫び」の誠意と言われる「**カード」等の類はないようです。まぁこんなものもらったところで・・・ですね。

しかし「センシティブ情報ではない」と言っていること事態が、大きな勘違いです。

確かに洩れた情報だけで言えば、保護者と子供の「氏名・住所・電話番号・生年月日」になるようですが、それらの情報を預かる企業としての発言にしては最悪です。洩れた情報の回収が限りなく完璧にできるのであれば、これもOKと思いますが、まず不可能です。

データは既に名簿業者やDM事業者に流れ、これらを活用した二次的な問題が起きてきます。ポイントは生年月日です。

これから成長する子供の情報&保護者情報は、季節や卒業入学時、学習塾、専門学校・・・相当長期間にわたり活用できてしまいます。

しかし、DMや電話勧誘等、好まない方も多くいます。更に、亡くなった方、何らかの理由により「そこにいない」方であっても、データが存在する以上、その利用方法は多岐にわたります。文字データとして年を追うごとに「該当リスト」として活用されていきます。

フラッシュバックするようなDMや勧誘が行われることにより、その当事者の方々はどんな気分でしょうか?

データをお預かりする以上、これらのことまでも考えなければなりません。結局、洩れなければこんな問題も起きない訳ですから、その引き金となった管理が出来ていなかったことが原因となります。

確かに「今回の洩れた情報」だけで考えれば、センシティブ情報でないのかもしれませんが、今後長期間にわたり様々な変化の中では、センシティブ情報に変わってくることも考えなければなりません。情報は常に「他の情報」と組み合わさることで変化していきます。

漏洩した企業が、万一思っていても言っちゃイケナイNGワードです。

・・・

情報漏洩を考える場合、守る側の思考よりも、狙う側の思考や環境からアプローチしなければ、守るモノも守れません。狙う側は「隙のあるところ」を狙うので弱点を効率的に探し出すことができますが、守る側は360度どこから責めてくるのかわからないところを考えなければなりませんし、弱点も内側からのものしかみることができません。一方通行をそのまま通るようなもので、逆走しなければ見えない景色もあると言うことです。

たった1人の情報漏洩事件で1000億円規模の打撃をどう考えますか?

洩れた個人(私も含む)には、管理はできません。預けている先の信用を頼るしかありません。

ベネッセで起きた事件ですが、業種を問わず、個人情報に限らず、情報管理の見直しの機会にすることが、私たちの今できることです。もう対岸の火事でいられる時期ではありません。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。