最後に取り上げるのは、記憶にも新しい2014年7月に発覚した、ベネッセコーポレーションによる個人情報漏洩事件である。1人500円分の金券が配布され、補償だけで200億円という莫大な費用がかかったとされる。株価の下落や顧客への信頼低下による売り上げ減、営業停止、システム改修による対策費用などを考えると、ベネッセの損害は計り知れない金額になる。

 ベネッセは、この事件の報告書を「個人情報漏えい事故調査委員会による調査結果のお知らせ」として、9月25日に公表した。この報告書を読んで筆者は、ベネッセはセキュリティ対策を結構きちんとやっていたと感じた(図5)。端末のデバイス規制や入退室管理を行い、ログの取得や社員教育などもやっていた。むしろ、ベネッセよりセキュリティ対策が甘い企業のほうが多いくらいだ。

図5●ベネッセが実践していた主なセキュリティ対策
図5●ベネッセが実践していた主なセキュリティ対策
ベネッセが、個人情報を漏洩させたときに実施していた対策の内容。個人情報を取り扱う企業として及第点レベルの対策を施していたというセキュリティ専門家が多い。セキュリティ対策の内容は、ベネッセの事故調査委員会が2014年9月25日に発表した 「個人情報漏えい事故調査委員会による調査結果のお知らせ」から抜粋した。
[画像のクリックで拡大表示]

ログをとってもアラート設定無し

 しかし、問題もあった。情報を抜き出す穴がいくつもあったからだ。報告書を見ただけではパッと見わからないが、例えば、今回の漏えいの直接的原因である使っていたデバイス規制ソフトの仕様の問題だ。ベネッセが使用していたデバイス規制ソフトは、機種は限られるが、一般的に流通する一部のスマートフォンを規制できなかった。また、ログを取得していたが、情報の抜き出しに関するアラート設定を行っていなかった。

 多くの経営者は、今回の事件を受けて、社内の情報セキュリティ対策状況の報告を求めただろう。しかし机上の報告で、今回のような穴を発見するのは困難ではないか。強いて対策を挙げるとすると、経営者自らがITに関する専門知識とセキュリティ意識を高めるとともに、経営層クラスで予算の決定権を持つ人が、情報セキュリティに関するトップに就いて、責任を持ってセキュリティ対策を行うしかないような気がする。この点は、報告書の「再発防止策」の中で、「組織上の責任の明確化」としても触れられている。