ベネッセ

・ 人の手で行われた情報漏えい

2014年に起きた「ベネッセ個人情報流出事件」は、記憶に新しいという方も多いのではないかと思います。
この事件で流出してしまった個人情報はなんと2,070万件。
これはマルチウェアなどネットワークを通じて行われたものではなく、人の手で行われたさらに悪質な事件でした。

この事件で知ったという人も多いかと思いますが、個人情報はお金になります。
個人情報を買い取る企業が存在していて、個人の個人情報にはそれぞれの値段がついています。

目的によってその価格設定は異なりますが、1人の個人情報につき30代の主婦層であれば○円、幼児や小児は○円、独身男性は○円、という具合です。
今回の事件は、個人情報を売ってお金にしたいと考えた派遣社員による内部犯行でした。

犯人の派遣社員は、ベネッセから貸与されていた個人で使用しているパソコンに個人情報を取り込み、それをUSBポートに個人の携帯をつなぎ、データをに移して社外に持ち出す、という手口を使って名簿業者に転売しています。

個人情報を取り扱う企業では、必要のない業務であればパソコンのUSBメモリの差込口やCDの書き込み口などにテープを張り、使えないようにしているところが多いです。
これはもちろん個人情報の流出を防ぐための処置になりますが、今回の場合は個人に貸与していたパソコンだったので、こうした対応ができなかったのでしょう。

・ データ管理のツメが甘かった?

名簿業者は派遣社員から個人情報を買い取り、それをジャストシステムという会社が購入して流用しました。

ジャストシステムは当然ながら購入した個人情報がベネッセのものとは知りません。
実は名簿業者も、個人情報の出どころはどこなのかを把握していなかったのです。
個人情報の売買にあたっては、入手元を確認しないのが暗黙のルールとなのだとか。

今回の事件においては、情報管理の甘さが引き金になっていると指摘する人もいます。
通常個人情報を管理している企業では、アルバイトや派遣社員における個人の携帯の持ち込みを禁止するのはもちろん、ノートにおいても社内用のみの使用を許し、個人の筆記用具を持ち込むこと自体を禁止している企業も多いです。

業務フロアに個人使用のバッグを持ち込むことも禁止されており、フロア内ではそれぞれに配布された紙製のボックスを使用して、仕事に使用するものはすべてそこに入れ、個人の持ち物は財布以外は持ち込み禁止にするほど、対策を徹底しているところもあります。

こうした対策を徹底していれば、今回のような惨事を招くこともありませんでしたし、多数のユーザーに不安を与えることもなかったでしょう。
企業によってはしっかり対策をとっているところも多いですが、まだ甘いところもある様子。
今後日本でも個人情報管理においては、より徹底していただきたいものですね。