ニュース
» 2014年09月10日 17時22分 UPDATE

「セキュリティに過信があった」、ベネッセが情報漏えいの再発防止策を発表

システム開発と運用を分離し、データベース管理も厳格化する。

[ITmedia]

ベネッセホールティングス(ベネッセHD)は9月10日、ベネッセコーポレーションから大量の顧客情報が不正に持ち出された事件に関する調査報告と再発防止策について発表した。事件発生の根本的な問題は「情報セキュリティに対する過信があった」と説明している。

企業風土に起因する甘さが事件に

 この事件は7月に発覚。情報システム子会社のシンフォームから業務委託を受けた企業の元契約社員の男が顧客情報を持ち出して名簿業者に売却し、不正に収入を得ていた。男は7月に不正競争防止法違反の容疑で逮捕、8月に起訴、9月に追起訴されている。

benesse001.jpg 内部不正による情報漏えいの対策を発表したベネッセ

 ベネッセHDは7月に、外部識者による調査委員会を設置して事実調査や原因究明、再発防止策の検討などを進めてきたという。調査では男が約3504万件の情報を3社の名簿業者に売却していたことが判明。ただ、この数字は実被害者よりも多いと見込んでおり、実被害者に関する情報は約2895万件だと推計している。売却された情報にクレジットカード情報が含まれていた事実は一切確認されていないという。

 男が情報を不正に持ち出した経緯については、この男がシンフォームでデータベースの保守・管理業務に従事し、業務の必要性から付与されていたデータベースへのアクセス権限を悪用して業務用PCから顧客情報を私物のスマートフォンにコピーしていたと説明する。

 同社は、社内規定では業務用PCから外部メディアへのデータの書き出しを禁止し、これを制御するシステムも導入・運用していたという。だが、システムのバージョンアップの際にスマートフォンの一部機種へのデータの書き出しを制御する機能が対応しておらず、そのままに運用されていた。また、社内ネットワーク上で大量のデータが取り扱われる際にアラートを発するよう設定していたが、男が情報を持ち出したデータベースはこの設定に含まれていなかった。データベースへのアクセスログも自動的に記録していたものの、定期的にチェックしていなかったという。

 調査委員会は、事件が悪意を持つ内部者の犯行に対する不備が原因になったと指摘。ベネッセHDは根本的な問題として(1)自社の情報セキュリティに関する過信、(2)経営層を含むITリテラシーの不足、(3)「性善説」にたった監査、監視体制の運用――などの企業風土に起因する甘さにあったとコメントしている。

システムの開発と運用を分離

 事件発覚後、ベネッセはラックによるシステム監査を実施。以下の緊急対策を実施したという。

  1. アクセス権限の見直し、必要最小限の担当者への付与、パスワード管理強化
  2. 端末へのダウンロード監督者の設置
  3. 大量データをダウンロードする際のアラート機能の設置
  4. 業務端末における外部記録媒体との接続禁止措置
  5. アクセスログの監視設定の強化(定期チェック)
  6. 執務スペースへの私物である電子機器、記録媒体の持ち込み禁止、監視カメラの導入

 また、再発防止策では(1)ベネッセHDによるデータベース管理の一元化、(2)データベース保守・運用管理の合弁会社設立、(3)データベース利用――の3点を挙げている。

 (1)では内部統制・監査に責任を持つ上席執行役員・CLO(法務最高責任者)を新設し、10月にグローバル企業で専門性の高い実績を持つ人材が着任する。CLOのもとに、CISO(情報セキュリティ最高責任者)、データベース管理を行う「データベース管理本部」を配置する。

 (2)では従来シンフォームが担当していたシステムの開発・運用・保守業務のうち運用・保守業務を分離。ラックと新たに合弁会社(名称、所在地、代表者などは今後決定)を設立し、2015年度からベネッセグループのシステム運用・保守業務を合弁会社に移管する。出資比率はベネッセHDが70%、ラックが30%。シンフォームについては、必要とされる資産や人材など合弁会社に統合するとしている。

 (3)については、商品やサービスの企画、提供、マーケティング活動などで事業会社がデータベースを活用するとし、その利用ではデータベース管理本部のガイドラインを順守し、データベースの管理と保守・運用を切り離すことで安全性を確保していくという。

 さらに、ベネッセグループが保有する全てのデータ、システムの管理、保守・運用について外部監視機関を設置し、定期的な監査を実施するほか、データベースの保守・運用業務を合弁会社以外の外部企業に委託しないとしている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -