内部犯行による顧客情報漏えい対策は、企業のリスク管理にとって喫緊の経営課題である。2014年7月に発覚したベネッセホールディングスの顧客情報漏えい事件は、内部関係者による情報窃取に対して企業はいまだ効果的な対策が打てていないことを浮き彫りにした。多くの企業は今、内部犯行による情報漏えい対策の見直しを迫られているのではないだろうか。内部犯行が引き起こす大規模情報漏えいの傾向と、効果的な防御策を解説する。

 各種報道によると、2014年7月に発覚したベネッセホールディングスの事件で漏えいした個人情報の件数は、最大で2260万件。データベースの保守・運用管理を委託されている企業の再委託先の担当SEが、2013年7月から複数回に分けて自身のスマートフォンに情報をコピーして持ち出し、名簿業者に販売していた。

 事件発覚直後の2日間でベネッセの株価は約8%(時価総額で約350億)近くも下落し、5万件以上のクレーム対応に追われた。その後ベネッセは200億円のお詫び対応準備金を用意し、事故調査委員会を発足。現在も事態の収拾へ向け、情報漏えい経緯の調査と、安全性を確保する施策の検討を続けている。

 ベネッセの事件は、情報へのアクセス権限を持つ内部関係者の犯行だったことに加え、同社が持つほぼすべての顧客情報が漏えいし、国内でも最大級の漏えい規模となったことから社会的に大きく注目された。

 実は、個人情報漏えいのインパクトは、外部からの不正アクセスによるものよりも、内部犯行によるインパクトのほうが大きい 。シマンテックが2014年2月に公開した「インターネットセキュリティ脅威レポート(ISTR)第19号」によると、世界の2013年における個人情報漏えいの原因は、内部犯行が20.4%だった(図1)。

<b>図1●個人情報の漏えい原因とインパクト</b><br>原因はハッカーの割合が高いものの、1回のインパクトは内部犯行のほうが大きい
図1●個人情報の漏えい原因とインパクト
原因はハッカーの割合が高いものの、1回のインパクトは内部犯行のほうが大きい
[画像のクリックで拡大表示]

 確かに漏えい原因の割合だけで比較すると、内部犯行はハッカーによる犯行の3分の1以下だ。しかし、1回当たりに盗まれる個人情報の平均件数は、内部犯行が約750万件と、ハッカー被害の1.6倍に上っている。つまり内部犯行による情報漏えいは「頻度が少ない割には影響が大きい」といえる。