ベネッセの情報漏えいはなぜ起きた？ 調査報告で問題詳細が明らかに（3/3 ページ）

[ITmedia]

組織側の問題点

　組織側の問題点として最終報告では体制と役職員の意識などに言及している。

　まず体制側の問題では内部者による情報漏えいなどのリスクを想定した技術的対策を講じていたものの、二重、三重の対策を講じるなど徹底的な体制までは構築できていなかった。ベネッセグループには、情報セキュリティに関するグループ全体の統括責任者が明確に定められておらず。グループ全体で統括的に管理を行う部署も存在しなかった。

　ベネッセコーポレーションとシンフォームでは頻繁に組織再編が行われ、従前に行われていた業務が再編後の組織に承継されなかったり、各組織間で責任・権限の所在が不明確になる場合があり、グループ内で個人情報管理の責任部門も不明確になっていた。

　内部者の不正行為を防止するための実効性を持った監査は行われておらず、シンフォームはベネッセコーポレーションの事業部門の意向に従わざるを得ない傾向が認められた。ベネッセコーポレーションはシンフォームの立場を強化するための施策を講じたものの、この傾向を完全に払拭できず、事業効率やスピードを重視するあまり、情報セキュリティの維持・向上のために十分な役割を果たしていなかった。

　また、ベネッセグループの役職員の多くは情報セキュリティについて相当なレベルにあると認識していた可能性が高いという。これは情報セキュリティに多くの予算とリソースを投入し、従業員の教育・研修も相当程度行ってきたことだとしている。ただ、「内部者が悪意を持って大量の個人情報を持ち出すことはあり得ない」という意識であった可能性が高い。これが内部不正者を想定した徹底的かつ万全の体制の構築を妨げ、不正行為を容認することとなった可能性を否定できないとしている。

その他の問題

　ここまでに挙げられた以外の問題では（1）業務委託先の管理と担当者に対する審査、（2）モニタリング方法――が挙げられている。

　（1）シンフォームでは業務委託先の担当者が、二次委託先、三次委託先といったどの委託先に所属する従業員かという契約上の位置付けを把握せず、当該データベースに保存された情報へアクセスする権限を付与しているケースがあった。このため、業務委託先の担当者への業務の分配、付与するアクセス権限が適切にコントロールされておらず、業務担当者による不正行為を想定した十分な行動監視体制を整えていなかった。

　（2）当該データベースへのアクセスログや通信ログなどを取得、モニタリングする仕組みを講じていたが、意図的な不正行為などを想定して、これらのログを定期的にモニタリングすることはしていなかった。

---

　調査報告書では再発防止策について、同社が9月10日に発表した内容を提起している。