ベネッセ個人情報漏洩事件に学ぶ、中小企業情報セキュリティとは

最大2千万件にも及ぶ大量個人情報漏洩事件となった今回のベネッセ事件ですが、連日テレビや新聞等でも報道されています。まるでベネッセの情報漏洩対策が一般企業に比べて対策が劣っており、“これじゃあ漏洩してもおかしくない”とばかりに受け取れる報道を多く目にしますが、皆さんの会社ではどのように情報漏洩対策を行っていますでしょうか。

この機会に自社のセキュリティ対策を見直してみましょう。

1)なぜベネッセ個人情報漏洩事件は起こったのか?

1-a)ベネッセ個人情報漏洩事件のまとめ

まず、今回の事件についてもう一度おさらいしてみましょう。
進研ゼミをはじめとするベネッセの教育サービスを利用する顧客情報約2千万件のデータベースを持っていました。
ベネッセのグループ会社であるシステム開発会社の下請けの派遣社員がシステム開発業務に従事し、その立場を利用して顧客情報をUSBメモリ等の外部記憶装置にコピーして名簿業者へ転売したとのことでした。

1-b)ベネッセの情報漏洩対策とは?

ベネッセが情報漏洩対策を行っていなかったのでしょうか?答えはNOです。
大量の個人情報を取り扱う大企業として、当然のようにセキュリティ対策は行っていました。
・データベースアクセス権限のあるアカウントの制限
・データベースへのアクセスは入退室管理された決められた部屋からのみ
・作業者PCは会社貸与で、強制的に社内セキュリティポリシーに準ずるもののみ
・作業者入退室時に私物の持込み禁止
あなたの会社でもここまで情報漏洩対策を行っていますか?
今回の事件で問題だったのは「作業者入退室時に私物の持込み禁止」にしておきながら、入室時私物検査でUSBメモリの持込みを見逃してしまったことでしょう。

1-c)どうすれば防げたのか?

小型クリップほどのUSBメモリも存在する中で、私物検査で防ぐことは現実的ではありません。
また、USBメモリの接続できないようにすれば、防げたのでしょうか?
いいえ、恐らくUSBメモリが接続できなければ、他の方法で情報を持ち出したのではないでしょうか。

一番問題だったのは、
・一次請負会社を含む、責任の所在の不明瞭さ
・業務に携わった派遣社員のセキュリティ意識の低さ
だったのではないでしょうか。

つまり、システム上で対策を行うだけではなく、業務従事者の責任の明確化とセキュリティ意識教育も重要だということがよくわかります。

2)自社でやるべき情報漏洩対策とは?

2-a)中小企業でどこまでやらなくてはならないのか?

一部メディアでは、「性善説には限界、国内企業は内部セキュリティに甘い」といった報道も見受けられますが、社員を疑うことは現実的でしょうか?

結論から言うと、会社を守るため、如いては社員を守るために必要なことをやるべきであり、その世間が求めているレベルは上がっている。ということが言えます。“うちの社員は皆信頼しているから大丈夫”と蔑ろにしていると、万が一情報漏洩が発生した場合にお客様の理解を得ることは困難になり、会社の損害は計り知れないものとなるでしょう。

2-b)システム上必要な情報漏洩対策

中小企業情報セキュリティ.comでは、「①ゲートウェイ対策」「②PC対策」「③統合管理」の3点について、総合的に対策を行うことを推奨しています。
代表的な対策例については、下記ページにて紹介しています。

 

事例の一覧はこちらから

 

2-c)人的情報漏洩対策

・セキュリティポリシーを策定しましょう
情報セキュリティについてのルールを明文化して、セキュリティレベルの向上と統一化を図りましょう。
個人に任せるだけでは、セキュリティレベルはバラバラになってしまい、最もセキュリティレベルの低いところから、情報漏洩が発生してしまいます。
会社として「ここまではやらなくてはいけない」という線引きを行い、それを文書化することで業務従事者が一定のレベルを順守する体制を作りましょう。

・業務従事者個人と機密保持契約を締結しましょう
社員として雇用する際には雇用契約を締結すると思いますが、雇用契約は会社を辞めれば効力がありません。別途機密保持契約を締結して、各個人に機密保持を徹底しましょう。万が一情報漏洩が発生した場合に、“会社は大変だけど自分には関係ないや”なのか“自分が損害賠償請求される可能性がある”のとでは、セキュリティに対する意識も大きく違います。

・セキュリティセミナーを定期的に行いましょう
セキュリティリスクを直接危機と感じる経営者側と、セキュリティ向上のために業務の手間が増えたりする現場社員との意識には、ズレがあって当然です。「なぜそうしなくてはならないのか」「一人が守らないとどういうことになるのか」「情報セキュリティの重要性」について、定期的にセミナーを行い、常に意識喚起を行うようにしましょう。

中小企業情報セキュリティ.comでは、皆さんの会社に最適なセキュリティをご提案いたしますので、お気軽にお問合せ下さい。



ウイルス対策ソフトでも防げない脅威の不正送金

 

UTMの必要性とは

 

 

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop