ベネッセ個人情報流出について
巷を騒がせている、ベネッセの個人情報流出はどうして防げなかったのでしょうか?
個人的にですが、原因として考えられるのが
1.システム的な甘さ
2.セキュリティ教育の未徹底
3.流出対策の不十分さ
の3点です。
まず「システム的な甘さ」とは、「スマートフォンを利用したデータコピー」ができてしまったことです。ソフト的な制限もそうですが、ハード的に顧客情報を扱う端末にはスマートフォンを接続できないようにしていなかったのでしょうか?
次に「セキュリティ教育の未徹底」ですが、
情報を扱う部門では、くどいほどセキュリティ教育が行われます。
そこでは「情報を悪意を持って流出させた場合」の犯人がどうなるかを徹底して教育されるはずです。
民事的な数億~数十億の損害賠償、刑事的な逮捕・懲役、家族・親族への影響などをしつこく教育されれば、意図的な流出をさせようとは考えないはずです。
今回、ベネッセでのセキュリティ教育がどのようなものであったのかは不明ですが、不十分な教育だった可能性があります。
最後は「流出対策の不十分さ」ですね。
流出の早期発見を促すため、情報にダミー情報を混在させ流出を発見する方法があります。
今回、ダミー情報を混在させていたようですが、名簿業者に削除されてしまったようです。
何故、簡単に削除されてしまう(直ぐにダミーと判別できてしまう)ような設定だったのでしょうか。
社員の情報を使い一部の名前を変更するなど、ダミーと見破られないような対策をしていれば、1年間も流出が続かずに早期発見でき、流出件数を大幅に少なくできたかもしれません。
もちろん、内部の情報はわからないので、これらは個人的な憶測ではありますが、
ベネッセとして、個人情報の「セキュリティ意識」が低かったということは否めない事実だったのではないでしょうか。
今、同業他社だけでなく、個人情報を扱う企業は自社のセキュリティを再チェックしているはずです。
この事件を踏まえ、より強固なセキュリティで、私たちの情報が守られることを願っています。