ベネッセ情報漏洩問題から学ぶこれからの対策
〈シリーズ〉風評被害対策 第13回
ベネッセ情報漏洩問題から学ぶこれからの対策
カイシャの病院・ソルナ株式会社
ネットの監視サービスや風評対策総合コンサルティングを行う『カイシャの病院』として、中小企業から上場企業まで多くのクライアントのネットトラブルに対応。書かれたものへの対処法だけでなく、「今後いかに書かれにくい企業」としていくか、そのための様々なサービスにも力を入れており、さながら「根治治療」を掲げる専門医のようだと好評を得ている。六本木ヒルズにて開業中。
ベネッセ情報漏洩事件
今から2年前の2014年7月に、通信教育大手のベネッセコーポレーションが、内部からの情報漏洩としては国内過去最大の規模となる、推計2900万件という大量の個人情報漏洩という事件を起こしました。
この事件は漏洩件数の多さから、テレビ、新聞、インターネットなど様々なメディアで報道されたため今も多くの方の記憶にあるのではないでしょうか。
今回、この過去最大の情報漏洩事件から2年が経った現在、流出させてしまった会社はどうなっているのか、そしてこの事件を振り返ってあらためて内部からの情報漏洩にはどのような対策をとれば良いのか、今すべきことは何なのかを考えてみたいと思います。
事件の経緯
ここで、あらためてこの情報漏洩事件を振り返ってみたいと思います。
事件の発端は顧客からの問い合わせでした。2014年6月、「ベネッセにしか登録していないはずの個人情報宛てに別の通信教育のダイレクトメールが届くようになった」という問い合わせがありました。
社内調査をした結果、同社のデータベースから個人情報が不正に持ち出されていた可能性が高いことが分かったため、個人情報漏洩事件としてベネッセは警察に刑事告訴しました。
そしておよそ1カ月後の7月、警察の捜査により、ベネッセのシステム開発・運用を行っているグループ会社の業務委託先の社員が、不正競争防止法違反の容疑で逮捕されました。
逮捕されたのは、ベネッセの顧客データベースにアクセスできる権限を持っていた業務委託会社のシステムエンジニアでした。
その犯行の内容は、業務用のパソコンと私物のスマートフォンを繋ぎ、不正に顧客情報をダウンロードし、その情報を外部の名簿業者に売却したというものでした。
そして今年3月にこの事件の公判が東京地裁立川支部で行われ、懲役3年6カ月、罰金300万円の判決が言い渡されました。
事件後の対応と対策
犯人の逮捕を受けてベネッセは情報が漏洩した顧客への支援を行う「お客様本部」を設置しました。流出した情報による顧客への不審な勧誘など抑止するための対応です。
またお詫びとして、漏洩が確認された顧客に500円分の金券を用意することを発表しました。また、「お詫びのあり方」を検討し、広範囲に迷惑をかけてしまった社会的責任を考慮した結果、「財団法人ベネッセこども基金」を設立することになりました。
被害を受けた顧客に、500円の金券を受け取るか、この基金に寄付するかを選択できるようにしたのです。
そもそも500円という金額については安すぎるとの意見もありましたが、「自分のところの財団に寄付させるなんてどういう企業姿勢なのか」と財団法人設立については一部で炎上する事態になってしまいました。
また、再発防止対策としてはセキュリティ専門会社のラックと情報システムの運用と保守と行う合弁会社を設立することを発表。世界でも有数のセキュリティレベルを目指す、として再発防止をアピールし、信頼回復と顧客情報流出の防止に向けて踏み出しました。
2年経って経営へ与える影響
事件後、同社の株価は約8%近く下落。さらには5万件以上のクレーム対応処理、調査委員会の設置、お詫びのために200億円の用意と、経営に大きな影響が出ている中で、ベネッセは信頼回復に踏み出しました。
しかし、この事件での最も大きな影響である、「失墜した信頼」を回復させることは結局2年経っても達成できず、顧客離れに歯止めをかけることができなかった結果、2期連続の最終赤字となってしまいました。
そしてついに、今年6月に社長が経営責任を取る形で退任することが発表されました。
あらためて考える内部からの漏えい対策
たった一人の行為によって誰もが知っている大企業でさえも、経営再建が困難になり、トップが退任するような事態になってしまうのが情報漏洩事件です。
では、なぜこの情報漏洩を防ぐことができなかったのか?
2年経った今では様々なことが分かっています。まず分かっているのは、ベネッセが何も対策をしていなかったわけではない、ということです。
職場への外部機器の持ち込みは禁止、そして物理的にも、職場のパソコンに外部機器を接続しても認識できないようにし、また個人情報にアクセスできる人間は制限し、もちろん作業のログは取っていました。
無防備だったわけではなく、およそ一般的な情報セキュリティ対策はなされていたのです。おそらくほとんどの企業でも同様の対策がとられているか、或いはこのレベルの対策すら行っていない企業も多いぐらいでしょう。
それでも情報漏洩事件は発生してしまいました。
一体なぜでしょうか? その理由は、表向きはしっかりとした対策がされていても、実際の現場ではこの対策が全く生きていなかったことにありました。
実際には、職場に私物のスマートフォンが持ち込める環境であったこと、また、対策システムが最新のスマートフォンには未対応だったため、職場のパソコンと繋げることができてしまっていたこと。
そして作業ログを取得していても、異常を検知して発見通報するようなシステムにしていなかったことなど、所々で穴がある状態だったのです。
この情報漏洩事件から2年が経過した現在、同じ過ちを繰り返さないために必要なことは「今の対策は本当に現場で活かされているか?」ということでしょう。
情報セキュリティの世界は日進月歩です。昨日最新だと思っていたことが明日にはもう古くなっていることも十分に有り得ます。そのため自社でセキュリティ対策を万全に整えるのは費用対効果の観点からも得策とはいえず、やはり外部のサービスをうまく利用すべきといえるでしょう。
とはいいながら、もしも情報漏洩事件が起こってしまったら、被害を受けてしまった顧客はもちろん、社会は同情などしてくれません。漏洩させてしまったという事実を徹底的に責められ、それまで少しずつ積み上げてきた信頼は一瞬で崩壊し、社会から見放されてしまうことを今回の事件から学ぶべきです。
テクニカルなことは社外の力を借り、社内ではガバナンスを利かせる、そのためにはどうすべきか、緊急事態の際にはどのように対応すべきかといった体制づくりに力を入れるべきです。
社長のすべき役割とは
CISO(Chief Information Security Officer)という言葉をご存じでしょうか? 情報セキュリティの最高責任者という意味です。近年、このCISOという役職を社長が兼任する企業が増えています。
本当に危機感を持って情報漏洩事件を防ぐためには、情報セキュリティの担当者に任せるのではなく、経営者である社長が自ら責任者になるのは理解できます。
しかし、CISOに求められているものは、情報漏洩を防ぐことだけに留まりません。セキュリティ戦略を通して自社のブランド価値を守り、業績向上につなげることです。
これは、優秀なセキュリティ戦略が他社との差別化に有効となる時代になってきたことを意味します。セキュリティがしっかりしているということが、顧客である企業や一般消費者にもアピールできる時代になってきたのです。
◎社長!こんなことありませんか!?
□「社名+評判」と検索すると悪評が書かれたサイトが現れる
□転職口コミサイトへ悪評が書かれている
□サービスや商品に関して2chなどへの書き込みが増えている
相談・調査は無料で実施します。
初期症状であれば自社で解決が可能です。
カイシャの病院・ソルナ株式会社
フリーダイヤル0120-934-515
東京都港区六本木 6-2-31 六本木ヒルズノースタワー6F
◆2016年8月号の記事より◆
WEBでは公開されていない記事や情報満載の雑誌版は毎号500円!
▸雑誌版の購入はこちらから