Loading
2014年10月29日 10時00分 UPDATE
PR

「アクセス制御」の限界を踏まえた「情報制御」の必要性ベネッセ事件に学ぶ、内部犯行に気付けない「3つの盲点」

2014年7月に発覚したベネッセコーポレーションの顧客情報漏えい事件は、その規模の大きさから社会的にも大きなインパクトを与えた。このような事件に気付けない背景には、どのような盲点があるのだろうか。

[ITmedia]

 2014年7月に発覚したベネッセコーポレーションの顧客情報漏えい事件は、教育サービスを利用していた子どもやその保護者の氏名、住所、電話番号や生年月日など約3504万件の個人情報が流出するという、過去最大規模の漏えい事件に発展した。

 そのインパクトはあまりに大きかった。ベネッセの株価は事件発覚直後の2日間で約8%、時価総額にして約350億円下落した上、セキュリティ対策などに要する費用として約260億円の特別損失を計上した。財務状況に大きな陰を落としただけでなく、約5万件に上る顧客からのクレームが寄せられ、退会の申し出は明らかになっているだけでも約3000件に達するなど、消費者イメージにも大きな影響を及ぼした格好だ。

 事件を受けて発足した事故調査委員会の報告や報道によると、情報漏えいの直接の原因は、システム運用管理を委託していた企業のシステムエンジニアによる「内部犯行」だ。このエンジニアは2013年7月以降、データベースからダウンロードした顧客情報を、業務用のクライアントPCから私物のスマートフォンへコピーし、複数回に分けて持ち出していた。犯人は1年あまりの間、気付かれずに情報を持ち出していたことになる。一体なぜ、このようなことになったのだろう。

 そもそもベネッセでの事件以前から、内部犯行による個人情報漏えいは度々発生し、そのたびに「再発防止」の掛け声が上がっていたはずだ。にもかかわらず、なぜまたこのような規模の漏えい事件が起こってしまったのだろうか。その真相に迫る。

提供:株式会社シマンテック

提供:株式会社シマンテック
アイティメディア営業企画/制作:TechTargetジャパン編集部