標的型メールは見抜くことが難しい。は誤りです

形だけのプライバシーポリシー?ベネッセの情報漏洩に思う

ベネッセと言えば、赤ちゃんから大学進学まで、およそ日本中の子供達全員のデータを持っているんじゃあないかと思えるほど、ビッグデータを活用したマーケティングで有名ですが、そのベネッセが持っている顧客情報が漏洩するという事故が発生してしまいました。

最大で2070万件ということですから、相当な規模です。自分の子供の情報も進研ゼミに登録していますから、我が家の情報も恐らくは漏れてしまっていると思われます。

そのプライバシーポリシー、自己満足になっていませんか?

システムの脆弱性の問題をはじめ、情報セキュリティに関する課題は尽きることがありません。ゆえに、情報漏洩などの問題を完全に無くすことはなかなかに難しいテーマですが、今回のベネッセの情報漏洩においては、その規模などから鑑みて、不可抗力という文字を当てはめることは難しそうです。

わかっているだけでも760万件ということですから、厳しい管理状況の中で一部の情報が持って行かれたというより、取り放題だったのでは?というイメージが想起されます。

しかも、プロのハッカーによって持って行かれたのではなく、アクセス権限のあるグループ社員以外の関係者に持って行かれたらしいということですから、関係者とはいえ、外部の人にダダ漏れだった。という状況が想像されます。

ベネッセほどの企業がセキュリティ対策をしていないわけはないので、当然、データ管理などはしているはずですが、それでも、このような事件が起きてしまうということは、そこには慢心や慣れ、油断、形骸化したセキュリティ施策といったものがあったのではないか?ということが想起されます。

ちなみにベネッセ本社や、グループ会社のプライバシーポリシーを見るとこう書かれています。

“お客様の個人情報を守るために、徹底した安全管理を行います。”

「徹底した」という言葉が虚しく感じます。関係者とはいえ、外部の人にダダ漏れだった状況だったとしたら、どこを徹底していたのか?と問われても致し方ないでしょう。

徹底した安全管理を行います。と言えば、聞こえはいいですが、それが言葉だけではなく、実際の行動を伴って実践されているか?

実際の行動が全く伴っていないのに、ホームページ上などではプライバシーポリシーとして耳障りの良い言葉を並べ、しっかりした管理を行っているかのように見せる。実体の伴わないプライバシーポリシーは、まさにドヤ顔でキレイゴトを並べ立てる企業側の自己満足に過ぎないと言えるのではないでしょうか。

これは対岸の火事などではありません

さて、この話を読まれているあなたの会社では、ベネッセの事故の話を受けて、自社の情報管理について再点検を行うようなアクションが取られているでしょうか?

役員や担当者が当事者意識を強く持ち、自社でも同じような可能性がないかどうか、すぐに点検を行うよう指示を出している、もしくは出ているようなら、その会社のセキュリティ施策は実践を伴っていると言えると思います。

しかし、今この瞬間、何のアクションも取っていない、また、誰からもアクションをしようという話すら出ないようなら・・・。

プライバシーポリシーもISMSも、最初の形にするところまでは一生懸命やるけれど、それを継続して維持することができていないという会社は数多く存在します。何事もそうであるように、継続して続けて行くには、強い意志が必要だからです。

個人には強い意志があっても、組織に所属する全員が強い意志を持ち続けるというのは実際問題としては大変難しい事です。個人でできることはたかがしれているだけに、相互に支え合い、維持する仕組みがなかったら、どんなに良い施策もルールも、時間の経過と共に形だけのものになってしまいがちです。

多かれ少なかれ、同じようなことはどこの会社にもあるはずです。

・ルールはあるけれど、誰も守っていない
・仕組みはあるけれど、いつの間にか使われなくなった
・危ないなあと思いながらも、大丈夫でしょで済ませてしまっている

などなど、ベネッセの事件を見ても、それを対岸の火事としてしか捉えられず、何もアクションしない、また、しようとしない会社は少なからずあると思います。そして、そのような会社から、また、同じような事故が起こることになるのだと思われますが、それは、あなたの会社であって欲しくないと思います。

どこかでセキュリティ事故が起きたとき、それを反面教師として、組織の誰もが、自分達に置き換えて考えることができるか?そしてそれが、誰から言われるまでもなく、自然と行われるようになっているか?

これは、各個人の意識に任せている限りはそうはならないでしょう。これこそ、セキュリティ教育を積み上げることによって、組織の習慣として定着させるべきものだと思います。

プライバシーポリシーやISMSといったものが形だけのものとなってしまうか否か、これもひとえに、セキュリティ教育を如何に行うかであり、そして、それを行う担当者の意志・意識によっても、大きく左右されてしまうものだと思うのです。

※本稿は2014年7月9日時点の情報を元に作成したものです。

←前の記事へ(
→次の記事へ(
サブコンテンツ