<ベネッセコーポレーションの顧客情報漏洩事件>
企業が集積する個人情報が容易に流出する事件がまた起きました。
ベネッセホールディングスの延べ1億件の顧客情報が漏洩したとみられる事件。
逮捕された被疑者M(39)は、顧客情報データベースの保守管理の再委託先のシステムエンジニア(SE)でした。Mは、業務上与えられたデータベースへのアクセス権を使って不正に顧客データをコピーしていたのです。
データベースの端末が置かれていた部屋は出入りをカメラで常時監視するなど、部外者の入場を厳しく制限していました。データベース端末に指定外の記憶媒体などを接続すると、エラーになる仕組みも取り入れられていたそうです。
しかし、データの持ち出しに使用されたスマートフォンは最新型で、この仕組みを免れることができました。これを知ったMが、管理体制の隙を突いたようです。
<問題の背景>
電子データ化された大量の顧客情報の保守管理を外注する企業は増えています。これに伴い、委託先の従業員が営業秘密に該当する大量の情報を不正に持ち出す事例は後を絶ちません。
多くの企業は、顧客などに関する大量の情報を電子データ化し、管理を外注しています。再発防止策の確立は緊急課題です。
従業員のモラルに頼るのはもう限界。重要情報へのアクセス管理の徹底などが強く求められています。
委託先と守秘義務契約を結んでも、委託先の個々の社員にまで徹底させるのは難しいようです。データベースの保守管理を請け負うIT企業では、委託先や再委託先など様々な立場の人が出入りする現場では末端の不正まで見抜けないのです。
漏洩した顧客情報が流通する背景には、2005年の個人情報保護法の完全施行で住民基本台帳から個人情報を入手しづらくなったことがあります。
漏洩したベネッセの顧客情報は、2006年以降のデータが多いそうです。不正に入手した個人情報の売買は禁じられており、名簿業者らが不正取得の可能性を疑う余地はありました。しかし、「知らなかった」と言えば不正の認識の裏付けは難しく、いったん外部に出た情報の流通は規制が困難です。
<対策>
今後は、委託先も含めて社員個人と守秘義務契約を結び、違反すれば損害賠償などのペナルティーがあることを認識させることが必要となるでしょう。