ベネッセホールディングスの情報漏えい事件に関し、同社は漏えいした顧客情報が重複を省き2260万件にのぼる(2014年7月21日現在)と発表した。なぜセキュリティが機能しなかったのか。「情報を盗もうとする悪意の者には万全のシステムでも対応できない」とよく言われるが、同社の体制が「万全」だったかどうかは疑問だ。

顧客に郵送されてきた7月10日付のおわび状では、大手情報セキュリティ会社が24時間不正アクセスを監視、システム運用を任せている(株)シンフォームは、ISMS(情報セキュリティマネジメントシステム)とプライバシーマークを取得、さらに社員全員が教育や定期的な外部監査を受けている、と説明されている。そのうえで、情報が漏えいした原因を究明し再発防止策を講じたい、と書かれている。

しかし今までしっかり対策をしているなら、そもそも漏えいが起きるはずもない。原因究明を待つまでもなく、現時点でわかることは少なくない。警察発表によると、容疑者の供述ではPCとスマホをつないだら思いがけずデータがダウンロードできたという。これも両機器をつなぐUSBポートを塞いでいれば、接続はできずデータを持ち出せなかった。スマホを自由にデータルームに持ち込めたというのも異常だ。スマホがミニPCと同じ機能を持つのは今や常識だろう。これ以外にも、データの暗号化など基本的な対策のいずれか一つでも対応ができていれば、データの流出は防げた。

また、相手企業がセキュリティ認証さえ取得していれば警戒せずに取引してしまう風潮も問題だ。05年の個人情報保護法施行以降、プライバシーマークの取得が流行ったが、その中身はロッカーの施錠、入退室の記録などの対策や従業員の教育など、企業の最低限の意識付けという性格が強いものだ。問題は、こうして取得された認証が、万一情報漏えいが起きたときの責任逃れに使われている点だ。喉元過ぎれば熱さを忘れるの諺通り、認定審査が通れば、運用は形式化しがちだ。ベネッセ本社とシステム運用を任せたグループ会社のもたれ合いが生んだ事件という側面は否めない。