ベネッセの個人情報漏えい ②

昨日は、ベネッセの個人情報漏えい事件が、システムでは防ぎきれない、悪意のある
社員、または関連会社社員などによるものであったことを書きました。

本日は、システムでは防ぎきれない情報漏えいをどのように企業は防いで行けば
良いのか、ということについて書いていきます。

今回の事件については、現時点で犯人逮捕にまで至っていませんので、動機はわかって
いません。
ですので、今回の文章は一般論になりますのでご容赦ください。

今回の容疑者は、ベネッセのIT部門の下請け業者のまた下請け業者で働いている
派遣社員だったようです。
そもそも、会社で最も重要な個人情報をこのような人が触れるということが問題
でしょう。
システムの保守をするということと、個人情報そのものを触れるということを
切り分ける必要が有ったはずです。

また、何かのメディアにデータを移動させて持ちだしていると考えられますので、
持ち物の管理はずさんだった可能性があります。
以前私があるECの運営会社の方に聞いた話では、個人情報にアクセスできる
コールセンターの人などは、コールセンターのある部屋には、私物の持ち込みが
一切禁止だったとのこと。
メモなどを室内で取ることはできるものの、持ち出しはNG。
徹底的に管理していると言っていました。
ベネッセの場合もそれくらいの管理が必要だったのだと思います。

そして、もう一つ重要なのは教育です。
なぜダメなのか、持ちだしたらどうなるのか、その教育は大切です。
しかし、今回持ちだした人は、そのような事はしっかり理解していた可能性が
大きいはずです。
では、防げないのか？ということですが、まだ考えられる事はあります。

今回の事件は、はっきり言ってカネ目当ての犯罪でしょう。

ベネッセの子会社の関連会社のそれも派遣で働いている人。
このような人にベネッセへのロイヤリティがどうの、などと言っても意味は
ありません。
待遇も相当低かったはずです。
どうしてベネッセは、そのような人にシステムの一部でも任せなければならな
いのでしょうか。

コストを安く抑えたい、それが原因です。
企業はその考え方を改めなければなりません。
リスク大きさと、日常のコストの関係を見誤っています。

本当に必要な費用は使わなければなりません。

大げさな話になってしまいますが、今回の事件の問題点は、セキュリティシステム
でもなく、教育でもなく、会社のコストに対する考え方のような気がしています。

どのような職務の人にどのような管理を任すのか、そのためのコストはどの程度
必要なのか、今一度経営者は考えなければならないのではないかと思います。


住宅産業塾
住宅産業塾Facebookページ