「うちの子の情報も漏れていた」 ベネッセ事件で被害に遭った親のキモチ

セキュリティ業界の傍らで働いています。5歳の子どもを持つ親でもあり、ベネッセでの情報漏えい事件から今の企業のセキュリティ意識について、一言申し上げずにはいられないのです。

[ITmedia]

編集部より：企業で情報漏えい事件が起きると様々な被害が発生してしまいます。編集部の記者が取材先で聞いた、セキュリティを仕事にしながら実際に情報漏えいの被害に遭った方の声をご紹介します。

　私は5歳の子どもを持つ一人の父親です。平日は中小企業でお客様にIT商材を提案する仕事をしており、これまでアンチウイルスソフトやファイアウォールなどの製品を10年近く扱ってきました。専門家ではありませんが、ITセキュリティについて一般の人よりは知識や経験を持っているつもりです。

　7月にベネッセから大量の個人情報が漏えいしたとニュースになり、仕事の立場では不謹慎ですが、心の中で「一大商機だ！」と思いました。でも、一人の父親としては「まさか、うちの子どもの情報も漏れたのかな……」と、ちょっとした不安も感じていました。

　父親としての直感は見事に的中しました。8月の頭にベネッセから1通の封書が届き、中身はA4紙2枚のお詫び状です。丁寧な文章で経緯の説明と謝罪がつづられていましたが、なんとなく無機質な印象を受け、腹立たしさもありました。お詫び状に記された相談窓口に電話をしようかとも思いましたが、連日のニュースで電話がつながりにくいこと、社員だけでは足りないので一部業務を外注していることなどが報じられていましたので、電話でクレームを言うために力を使うのはバカバカしいとやめました。

ベネッセのお詫び状

　事件の原因や状況に関するニュースを連日聞くたびに、「これは起こるべくして起きた系だな」との思いを深めました。日頃お客様に接していると、「社長が予算を承認してくれないのでごめんね」とか、「うちはセキュリティがしっかりしているから大丈夫だよ」という方がいます。

　ほとんどはお断りの方便でしょうが、過去には情報漏えいを起こしてニュースになってしまったお客様企業もありました。方便のつもりが、セキュリティ対策が本当にザルになっていたのでしょう。こういうケースに出会うと残念で仕方ありません（売れなかったという気持ちも含めてですが……）。

　ベネッセからお詫び状が届いてからというもの、仕事面ではお客様からのセキュリティ強化や情報漏えい対策の相談依頼が増えています。しかし、父親としては複雑な気持ちを抱えたままなのです。犯人が多数の名簿業者に売却したといいますが、どこかで私と子どもの情報が好き勝手に扱われているのかと想像すると、腹が立って仕方がありません。

---

　9月10日にベネッセが事件の状況や対応を発表しました。プレスリリースや記者会見のニュースをテレビで見ましたが、原因については「やっぱりな」と思うしかありません。犯人の詳しい人となりは知りませんが、ニュースで伝わっている範囲でいえば、IT業界の人ならほとんどの人が同じ気持ちを抱くのではないでしょうか。犯人はプロですし、情報にどれくらいの価値があるのか、同社が講じていたというセキュリティ対策も理解していたでしょう。技術的にはそれなりの対策だったと思いますが、運用がザルだったのは明らかです。同社もわざわざ文章と口頭で説明していましたが、「情報セキュリティに過信があった」とは、よくもまあ、堂々と言えたものです。

　でも、私が訪問しているお客様企業の何割かは、ベネッセと似たような状況に思います。実際に案件を進めていると、そういう状況は目にすることが何度もあります。セキュリティソフトやアプライアンスを運用していても、ログをみていないとか、社員教育をやっていないとかは普通にあります。技術うんぬん以前の問題なのです。この会社の対策がすごいと思うケースはごくまれですね。

　ベネッセは10月までに200億円もの原資を使って500円分の金券をお詫びの品として送るそうですが、200億円という根拠がよく分かりません。何千万件もの家庭が被害に遭っているので、その規模になるのでしょうか。そもそも事件が起きなければ、200億円の資金をもっと有意義に使えたはずでしょう。そこを同社はどう思っているでしょうか。

　今まで幸いにして我が家に変な勧誘の電話や郵便物は届いていません。それはそれでラッキーなのかもしれません。正直にいえば、500円の金券などいらないので、子どもの情報が漏れたことによって私が不安に感じた時間、対応に使った時間を返してほしいのです。

　仕事面でもこの事件で相談は増えましたが、決して右手団扇とかいう状況ではありません。中には、便乗商売だとクレームを言われることもあります。売上増よりも、こうしたことを言われるストレスの方が大きいのです。

　この事件を通じて情報漏えいの被害に遭うことのつらさを実感しました。そして、仕事面でもマイナス（主にモチベーションですが）がそれなりにありました。職場にも私と同じ立場の同僚が何人かいます。ITmediaの読者の皆さんの中にも、同じような被害に遭ったり立場にいる人がいるのではないでしょうか。

　セキュリティを仕事にしている子どもの親として企業（特に経営に関わっている方）にお願いしたいのは、セキュリティ対策を“軽く思ってほしくない”ということです。製品を導入したから良いわけではありませんし、入れた製品をそれなりに使わないと、意味はありません。社員教育もしかりです。

　セキュリティ対策を厳しくすると面倒くさいという会社もありますが、それは本当に言い訳です。お客様企業でセキュリティ対策をしっかりしているところは、会話の中身が違います。「こうしたいけど、この製品ではここまでしかできないから、こう運用するか」ときちんと考えられていますし、製品購入額もあまり大きくはならない傾向にあります。

　ベネッセのような大企業でさえ、意識の欠如によってこのような事件が起きてしまいます。200億円もの大量の資金は事件が起きれば、簡単に吹っ飛びますし、事件が起きなければ、中小企業ならそこそこの自社ビルだって建てられます。

　セキュリティ対策を心のどこかで軽んじている企業は、早く考えや認識を改めてほしいものです。セキュリティ業界の片隅で働く者として、子どもの情報を漏えいされた親として、企業のセキュリティ意識が良い方向に行くことを願うばかりです。