調査委員会の最終報告書では事件発生時のセキュリティ対策や犯行の手口などがまとめられ、システム面や組織面におけるセキュリティの問題点が明らかにされた。
ベネッセホールティングスは9月25日、ベネッセコーポレーションで発生した顧客情報の漏えいに関する調査委員会(委員長・小林英明弁護士)の最終報告について概要を公表した。調査期間は7月22日から9月12日までで、委員会ではのべ63人に事情聴取などを行い、発生時のセキュリティ対策や犯行の手口、再発防止策などを取りまとめた。
今回の漏えい事件における主な経過と調査結果の概要は以下の通りとなっている。
報告書では発生当時のセキュリティ状況のポイントについて(1)データベースおよびシンフォームの執務室、(2)クライアントPC、(3)シンフォームでの個人情報保護教育――の3点を挙げている。
(1)個人情報を取り扱う業務での執務室を含めた施設の入館で、入館許可証の発行を受けた者や臨時入館許可証の貸与を受けた者のみが入室でき、入退室管理規程に従って入退出が管理されていたという。出入口付近には監視カメラが設置されていた。
(2)シンフォームが業務委託先に貸与したクライアントPCは、ワイヤーロックで持ち出しが禁止され、利用場所が制限されていた。従業員と業務委託先が使用するPCの対策ではユーザーに認証IDを割り当て、パスワードを設定し、パスワードの定期更新を定めていた。
データベースへのアクセスが許可されたPCは、システム管理部門の許可を得ずに標準仕様を変更することができないとされていた。社内規程でPCによるネットワークの使用状況・内容について、操作ログを記録することが定められていたという。また、PCでは不要なソフトのインストールが制御され、外部オンラインストレージなど不要な外部サービスへのアクセスもURLフィルタリングでブロックされる対策が講じられていた。
(3)従業員に対して企業倫理、情報セキュリティ、個人情報保護、内部者取引の防止、PC利用などについて、定期的な教育の実施を社内規程で定めていた。委託業務従事者には、従事前に情報セキュリティ研修とテストを行い、合格者に従事させていた。業務従事者に情報セキュリティ研修を毎年受講させていた。
Copyright © ITmedia, Inc. All Rights Reserved.