教育出版大手ベネッセの子会社に勤務するSEが、企業が有する膨大な個人情報を名簿業者に販売するという営利目的で不正に取得。
ライバル会社がその個人情報を利用してDM等を送ったことから、ベネッセにしか開示していない固有の情報が、ライバル他社から送られてきたDMを不審に思った会員からの問い合わせで発覚したと云われています。
スマートホンを記録媒体に使用して、企業のデータベースから大量の情報をダウンロードするには、スマートホンの記録容量を考えると、とても1回どころでは不可能だと思いますが、そのような不正ダウンロードを複数に渡って行ったのにも関わらず、管理ができていなかった理由が分かりかねます。
こうなってくると、大量の顧客情報を管理している多くの企業や学校・病院といった組織の管理体制も怪しくなってきます。
まさか、表計算ソフトで名簿を作成したように、住所・氏名・年齢・電話番号などと、簡単に情報をプリントできるファイルになっていたのでしょうか。
だとしたら、どんなに情報管理体制を厳しくしても、一度サーバーに入られたら漏えいの防ぎようがありませんね。
例えば、ISOのセキュリティ版、ISMS(情報セキュリティマネジメントシステム)
このような制度を多くの企業が採用していますが、結局は人が行う事ですから、どんな高度なセキュリティ対策や制度を作っても、運用の問題ばかりは解決できるとは限らないという感じです。
情報管理や漏洩対策もこのような基準に沿って行っていた筈ですが、いくら悪意があった不正な情報取得とはいえ、それが長期間発覚しなかったのは、管理者側に問題があるか、セキュリティシステムに問題があったのに、それを放置したか見逃してしまったとも考えられます。
他社・他団体でも、ベネッセ同様に何かしらセキュリティの穴があっても、それを指摘も改善もされずに前述のような情報セキュリティ認証がされているとしたら怖いですね。
むしろ、そちらの方が問題は大きいと思いますが大丈夫なのでしょうかね?
今一度、情報管理に関わる部門は、あらゆる漏えいの可能性を考えて見直した方が良いのかも。
先日、我が家にもべネッセから個人情報流出に関する書面が送られてきましたが、それ以外にも、出所が分からない、どこがどのように我が家の情報を利用しているかわからないのに、発信元の持っている情報を全て削除するなどというのは不可能ですから、そこは自己防衛するしかありません。
不審な電話やメールには着信拒否機能や迷惑電話・メール防止機能を使う事で、最初の1回は無理でも2回目以降は減らす事ができますから、作業は多少面倒でも、そこはこまめにやり過ごすしかないのでしょう。
今後は、WEBサイトから個人情報収集をする方法や、情報を提供する個人や家庭側にもセキュリティをかけられるような新しい方法が出てくる可能性がありそうです。
**************************************
セキュリティはハード・ソフト・人対策
スマートビーンズ株式会社
http://539ouen.wix.com/sho-ene
**************************************