作成日:2014/9/17

先週の9月10日(水)にベネッセホールディングス(以下、ベネッセ社)は個人情報漏えい事件の調査報告と再発防止策について発表しました。
調査報告の冒頭で、外部委託先の元社員は約3,504 万件分の個人情報を名簿事業者3 社へ売却していましたが、重複等を除いた実際の被害件数は約2,895万件と推計しています。
また、今回の事件が発生した要因として、

  • 自社の情報セキュリティに関する過信
  • 経営層を含むIT リテラシーの不足
  • 性善説にたった監査、監視体制の運用

などの企業風土に起因する甘さにあると判断しています。
まず、今回の事件における具体的な原因と再発防止策を確認した上で、考察を加えていこうと思います。

情報漏えいの原因についての報告と考察

今回の事件の実行犯である外部委託先の元社員はデータベースの保守・管理業務に従事していることから、対象となったデータベースに対する正規アクセス権を付与されていました。当該元社員は顧客情報を業務用パソコンに抽出し、私物スマートフォンを接続して不正に外部持ち出しを行っていたとしています。この不正行為を防止出来なかった原因として、以下を挙げています。

原因概要
外部記憶装置へのデータ書き出し制限が機能不全
  • 社内規程において、業務用パソコン内のデータを外部メディアへ書き出すことを禁止
  • 運用上も上記行為を制御するシステムを導入
  • バージョンアップにより、一部スマートフォンが書き出し制御機能に未対応
持ち出し対象となったデータベースに対しアラート機能未設定
  • 社内ネットワーク環境で、大容量データの取り扱い時に警告が発せられるアラート機能を設定
  • 情報持ち出し対象のデータベースはアラート機能の設定対象から除外
データベースのアクセスログのチェック未実施
  • 業務用パソコンからのアクセスに際し、自動的にアクセスログが記録される仕組みを採用
  • 記録自体を定期的にモニタリングしてチェックすることは未実施

1番目の外部記憶装置へのデータ書き出し制限について補足すると、Windowsでの一般的なUSB接続は「USBマスストレージ」として認識されてドライブ名が割り当てられますが、スマートフォンを接続した場合はドライブ名が割り当てられない「WPD(Windows Portable Devices)」としても認識されます。これはWindowsのファイルシステムとは異なるデータ転送プロトコルを実装しており、概ねAndroid4.0より実装が始まっています。ベネッセ社のPCに導入されていたデバイス制御ソフトではWPD対応が遅れていたことから、WPD対応スマートフォンを接続し、データを転送していたと推測されます。
2番目のアラート機能が未設定というのはちょっと理解に苦しむ内容です。一般に統合化された顧客データベースは社内でも最重要資産の一つになります。理由として考えられるのは、業務上、当該データベースに対する大容量データの取り扱いが日常的に行われていたため、アラート機能を設定することで業務への支障が大きいと判断されたと考えられます。
3番目のアクセスログのモニタリング未実施についても、実際には多くの企業でも同様の状況であり、ログは何らかの事象が発生した場合の確認用として保存しているケースが多数だと考えられます。もしモニタリングを実施していたとしても、エラー等のアラートをチェックするくらいの内容であれば、今回の様に権限者による不適切な行為は発見することが困難です。正常系を含めたアクセスログのモニタリングを行わない限り、権限社の不適切行為は発見が困難です。

再発防止策についての報告と考察

ベネッセ社が発表した再発防止策については、緊急対策、組織改革、外部監視機関設置の3点で報告されています。
緊急対策については、事件発覚後のシステム監査結果を受け、以下の6項目についてすでに実施されているとしています。

  1. アクセス権限の見直し、必要最小限の担当者への付与、パスワード管理強化
  2. 端末へのダウンロード監督者の設置
  3. 大量データをダウンロードする際のアラート機能の設置
  4. 業務端末における外部記録媒体との接続禁止措置
  5. アクセスログの監視設定の強化(定期チェック)
  6. 執務スペースへの私物である電子機器、記録媒体の持ち込み禁止、監視カメラの導入

また、組織改革についてはグループ全体のIT ガバナンスを強化する以下の施策を実施するとしています。

役割実施者概要
データベースの管理 株式会社ベネッセホールディングス
  • データセキュリティの管理監督、運用状況の監視・監査
  • 情報管理を含む内部統制・監査に責任を持つ、CLO(Chief Legal Officer)の設置
  • CLOのもとに情報セキュリティの監査に責任を持つCISO(Chief Information Security Officer)、データベースの管理を行うデータベース管理本部を配置
データベースの保守・運用 合弁会社(新設)
  • データの保守・運用を実施
  • ベネッセ社とラック社とで合弁会社を設立
  • 情報システム子会社(シンフォーム社)から必要とされる資産および人材などを統合
  • グループ外への業務委託は行わない方針
データベースの利用 事業会社
  • 商品・サービスの企画・提供、マーケティング活動等のためのデータベースの活用
  • データベース管理本部が策定するガイドラインを遵守

さらに、ベネッセ社グループが保有するすべてのデータ、システムの管理、保守・運用を対象に第三者視点での定期的な監査を実施する外部監視機関を設置するとしています。
まず緊急対策についてですが、このような事件が発生すると一般に行われる内容のように見受けられます。2番目と3番目の対策から、先にも述べたように大量データのダウンロードが担当者の裁量で日常的に行われていたように推測されます。5番目のアクセスログのモニタリングについても、どのレベルまで行われているかで有効性が変わってきます。権限者による不適切行為の発見を目的とするのであれば、エラーログの確認だけでは足りず、正常なログの組み合わせによる不適切行為の確認を行う必要があります。これはラック社のノウハウを活用して対応することになると考えます。6番目の対策もよく見受けられますが、特に監視カメラについては、設置だけなのかモニタリングまで行っているのか不明確です。監視カメラを設けるよりも、執務室内部の風通しを良くし、委託先従業者を含む従業員同士のコミュニケーションを活発化させることで、意図せずとも相互監視の状態を構築するようにした方が、パフォーマンスと安全性伸そう方で向上が期待できると思いますが、事件の対応ということで致し方ないのかもしれません。
また、この緊急対策で気になったのは、対策を実施する対象はどの部門なのか、という点です。全社レベルで対応されているのか、情報システム部門(子会社を含む)だけなのか、項目ごとに対象が変わってくるのかが不明確です。恐らくは情報システムの保守運用を担当するシンフォーム社を中心に対応されていると推測されます。一方で事業部門において大量データの操作や外部媒体の接続等がどこまで制御されているのかが懸念されます。もし、事業部門ではありえない、と判断しているのであれば、報告書の「企業風土に起因する甘さ」が解消されているか、気になるところです。
組織改革については、様々な役職や部門、さらには合弁会社の設立まで視野に入っていますが、体制としては目新しいものではないと思います。管理主体であるベネッセ社が新設される合弁会社(とラック社)に依存せず、主体的に活動できるかどうかがカギになるのではないでしょうか。これに加えて外部監視機関を設けるとしておりますが、この内容についても不明確です。定期的にシステム監査を行う程度なのか、常時何らかの働きかけを行うのか、今後の動向に注目したいと思います。

内部統制報告制度におけるIT統制との関連

さて、こうした情報漏えい事件が発生した場合、「J-SOXでIT統制は問題ないと評価されているから大丈夫」という意見をよく聞きます。しかしながら、IT監査を含め、J-SOXで行われている内部統制監査の目的は「財務諸表の信頼性」です。よって、顧客データベースが財務諸表と関連するシステムに含まれていない場合は監査対象となっていない可能性があります。また、監査上注目するのは、過失または意図的に財務報告に係る重大な虚偽記載につながるリスクであり、情報漏えいの防止という観点は優先度があまり高くありません。
本来であればJ-SOX監査対象のシステムでなくても、システムの重要性に応じて同様の措置を行った方が良いのですが、会社の内部統制に対する考え方や取り組み方針、あるいはリスク・コストと効率性を天秤にかけた上での判断となるので、会社によって対応状況はまちまちです。
J-SOXに対応し、監査法人が重大な問題はないとしているから、ということで安心するのではなく、いま一度全システムを対象にした統制状況を確認した上で、システムの重要性に合わせた対応を検討してみては如何でしょうか。

最後に

以上、事件発生の原因と対策について確認しましたが、こうした内容について、今後改善を加えながら継続して実施できるかどうかが重要になります。このように様々な対策を行うのはいいのですが、しばらくした後に形骸化することなく、継続することが一番の大きな課題になります。単なるイベントではなく継続することが失った信用を回復するための必要最小限の企業努力になると考えます。
再発防止策の内容については経済産業省も確認するようですが、今回のベネッセ社の施策が今後のスタンダードとして評価されないか、若干気になるところです。もちろん、例外なく対応すべき内容もありますが、重要なデータベースの保守運用に対する外部委託の是非、監視カメラの設置、外部監視機関の設置といった内容まで推奨されることはないかと懸念しております。
今回でのプレスリリースでは、情報流出した顧客に対して、500 円分の金券をお詫びとして用意するとあります。ネット上でもこの金額について様々な意見が交わされているようですが、総額でおよそ150億円となり、毎期の経常利益のほぼ半分、純利益の7割以上となるので、決して安い金額ではないと思います。気になるのは、同一のプレスリリースで「ベネッセこども基金」の設立と、お詫びの金券を基金への寄付とする選択も可能であることを記載していることです。「ベネッセこども基金」設立の趣旨として異論はありませんが、情報漏えい事件の対応の一環として同じプレスリリースに掲載するのは違和感があります。さらに、お詫びとして配布する金券に対して寄付の選択肢を設けるのは、そもそもお詫びの役割を果たしているのか、疑問です。面倒でも別のプレスリリースとした方がよかったのでは、と考えます。

 

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。

デルタエッジコンサルタントでは、個人情報保護に関して、
・個人情報の入手から保管、廃棄までの一連のプロセスの策定
・個人情報の漏えい防止(不正アクセス/内部不正)に向けた情報セキュリティ対策
・個人情報保護法等、関連する制度への対応
・万が一、個人情報が漏えいした際の危機管理体制策定
を支援するコンサルティングサービスを提供しています。
詳細はこちらをご覧ください。
コンサルティングサービス-リスク管理
興味や関心がございましたら、ぜひご連絡ください。

コンサルティングサービス-リスク管理
お問い合わせ