ニュースイッチ

【連載】なぜ、企業は不祥事を繰り返すのか? ③ベネッセの顧客情報漏えい事件


ログを保存していたがノーチェック


(第4の問題点)
 シンフォームでは、業務用PCからサーバーにアクセスした場合、自動的にアクセスログと通信ログが記録される設定にしていた。しかし、ログを定期的にモニタリングする体制が存在しなかったため、甲の異常な操作履歴を把握できなかった。
(第5の問題点)
 シンフォームでは、情報漏えいを防止する目的で、業務用PCとサーバーの間の通信量が一定値を超えた場合に、メールでアラートが送信される「アラートシステム」を整備していた。しかし、このアラート機能がオフにされていたため、甲の行為に対してアラートが発信されなかった。
(第6の問題点) 
 ベネッセグループでは、情報セキュリティに関して、グループ全体の統括責任者や担当部署を明確にしていなかった。

アウトソーシングによる責任感の喪失


 ベネッセグループは、膨大な顧客情報を保有していた上に、最高顧問の福武總一郎氏(創業家一族)が「ベネッセの最も重要な資産は会員名簿」と繰り返し語っていた。それにもかかわらず、同グループの情報セキュリティは、前述したとおり非常に劣悪な状況であった。
 このうち「私物機器持ち込みの放任」と「アクセスログの未確認」については、業務委託先の従業員を監視するという発想が、シンフォーム側にそもそも欠落していたと認められる。一般的に、業務委託先の従業員については、自社の社員よりも忠誠心が低く、内部不正のリスクが高いと考えられるが、身元の確認などの初歩的な対策さえ実施していなかった。
 情報システム業界では珍しくないことだが、シンフォームもシステムの維持・管理業務を広範にアウトソーシングしていた。その依存状態に慣れすぎて、「事業者として業務委託先を監督しなければいけない」という責任感をいつの間にか喪失していたのである。

以上の説明だけでは物足りない方へ


(疑問点1)
 独立行政法人情報処理推進機構は、内部不正対策を効果的に実施できるようにするために、2013年に『組織における内部不正防止ガイドライン』を発表している。上述した問題点がガイドラインに違背していることは、IT業務に従事する者にとっては自明の話であった。おそらく多くの関係者が認識していたはずなのに、どうしてこれらの問題点が放置されていたのだろうか?
(疑問点2)
 近年では、IT業界だけでなく、コスト削減の観点から広範かつ重層的にアウトソーシングを進めているケースが少なくない。業務委託先を適切に管理していくためには、どのような工夫をすればよいだろうか? また、年配の経営者は、IT関係のような専門業務に関しては概して知識が不足しているが、どうやって監督していけばよいだろうか?

この事例をもっと深く理解し、以上の疑問点の答えを知りたい方は・・・・

『なぜ、企業は不祥事を繰り返すのか -有名事件13の原因メカニズムに迫る-』
 (日刊工業新聞社より8月26日発売)
http://pub.nikkan.co.jp/books/detail/00002933

をどうかご購読ください。m(_ _)m
《著者略歴》
樋口晴彦(ひぐち・はるひこ)
東京大学経済学部卒業後、上級職として警察庁に勤務。愛知県警察本部警備部長、四国管区警察局首席監察官のほか、外務省情報調査局、内閣官房内閣安全保障室に出向。現在、警察大学校教授として、危機管理・リスク管理分野を担当し、企業不祥事とマネジメントについて研究。米国ダートマス大学MBA、博士(政策研究)。
(第4回は9月9日掲載予定)
昆梓紗
昆梓紗 Kon Azusa デジタルメディア局DX編集部 記者
個人情報の取り扱いはどの企業でも教訓となります。 次回は「メルシャン水産飼料事業部の循環取引事件」を取り上げます。

編集部のおすすめ