個人情報を取り扱っている会社は、外部への流出を避けるためにも厳重な管理を行う責務があります。
万全の対策を行っていたと考えられていた場合でも、何らかの原因により外部に漏れ出してしまう事例がたくさんあります。
その中でも大規模な個人情報流出事件に発展したのが、ベネッセの個人情報流出問題です。
ベネッセで提供している子供向け学習サービスを利用している子供、保護者、その他のサービス利用者、過去にサービスを利用していた方などの情報が最大で約2070万件も流出してしまいました。
個人情報を厳重に管理していたはずのベネッセですが、なぜこのような事件に発展したのかという経緯を確認してみると、セキュリティ対策は万全ではなかったことがわかります。
参考:http://japan.zdnet.com/article/35051292/
ベネッセから個人情報が流出しているのでないかと発覚したのは、顧客からの問い合わせが急増したことがきっかけです。
巷では有名な話ですが、ベネッセは勧誘のダイレクトメールを何度も送ってくることで知られているため、個人情報の流出を懸念する方の中にはあえて違う個人情報をベネッセに登録している方が多かったそうです。
ベネッセにしか登録していないはずの個人情報が、なぜか他の同業者でもあるジャストシステムからもダイレクトメールが届くようになったことで不信感を抱き、個人情報流出を懸念する問い合わせが急増して事件が発覚しました。
ジャストシステムが手に入れた個人情報は、いくつかの名簿業者を介していたことがわかりました。
その名簿業者が一体どこから手に入れたのかについては、複雑なルートを経ていたそうです。
根本的な原因として最終的に発覚したのは、ベネッセの子会社でもあるシンフォームという会社に派遣社員として属していたシステムエンジニアが流出させたものだとわかりました。
シンフォームはベネッセの個人情報について管理を任されていた会社です。
つまり、この事件は完全に外部から何者かがハッキングして流出させたものではなく、ベネッセの個人情報を取り扱うことができる人間が関与した内部犯行だったのです。
犯人は膨大な数の個人情報を盗むために利用したのは自分のスマホだったそうです。
何度かに分けて自分のスマホへデータをコピーし、誰にも気付かれずに個人情報を抜き出したと言われています。
ベネッセの個人情報流出問題は、外部に対して強固なセキュリティ対策を施すだけでは万全とは言えないという大きな課題を残しました。
内部犯行に関しては方法を考えるといくらでも個人情報を持ち出すことができるからです。
徹底した社員教育を行い、企業秘密であることを十分理解させるなどの対策を施すことも必要だと考えられます。