ベネッセの個人情報漏えい事件を見て、自社の個人情報保護体制を見直さなければならない

先日の個人情報漏えい事件を受けて、この機会に、自社の個人情報の管理体制を見直している企業も多かろうと思います。

法律的なことを言えば、取締役・取締役会は、業務適正確保体制、いわゆる内部統制システムの一貫として、情報の保存及び管理に関する体制を整備しなければならないので、個人情報の保存及び管理に関する体制も整備しなければなりません。
整備というのは、他社で個人情報の漏えい事件が発生したときに、自社にて、今回と同様の個人情報の漏えいが発生しないかを再度確認し、確認の結果、防止できないと判断したら、防止できるように改善措置を講じる、ということも含みます。

つまり、漫然と「ベネッセ、大変だな」と新聞記事を眺めているだけではダメなのです。

個人情報の保存・管理体制を確認し、改善する際の3つのポイント

自社の個人情報の保存・管理体制を見直す際、考えもなく、お金を掛ければいいというものではありません。
自社の体制を見直し、ベネッセ同様の事件が発生しないか確認し、改善策を講じるにあたっては、3つのチェックポイントがあります。

  • 1つめは「物的」管理ができているか
  • 2つめは「組織的」管理ができているか
  • 3つめは「人的」管理ができているか

おそらく、多くの会社は、今回のベネッセの事件を受け、1つめの「物的」管理、2つめの「組織的」管理ができているかに力を注いで、個人情報の保存・管理体制が万全かをチェックすることと思われます。
しかし、本当に重要なのは、3つめの「人的」管理の部分です。

とはいえ、「物的」管理、「組織的」管理、「人的」管理ってなんのこっちゃ?という方もいらっしゃるでしょうから、まずは、ここから噛み砕きます。

個人情報保存・管理体制のうち「物的」管理の見直しだけやるのは、三流の会社

チェックポイントの1つめに挙げた「物的」管理というのは、わかりやすく言えば、社内のシステムです。
一番身近な例でいえば、個人情報を保存するデータサーバは社内の共有サーバから隔離されているか、個人情報を保存するデータサーバにアクセスできる権限を持っている者は限られているか、といったものです。

今回のベネッセ事件では、下記のような方法で情報が漏えいしたと発表されています。

「今般、㈱シンフォームの業務委託先の元社員が、担当業務のために付与されていたアクセス権限により、お客様情報が保存されたデータベースにアクセスし、不正にお客様情報を社外に持ち出し、名簿事業者に売却しておりました。」

「その後の調査により、当該元社員が弊社データベースからお客様情報を不正に社外に持ち出していたと推測しております。概要は以下の通りです。

  • 元社員は、当該業務に従事している期間中、複数回、データベースにアクセスしていたログが確認されております。
  • 元社員は、担当業務のために今般お客様情報を不正に持ち出したデータベースへの正規のアクセス権限を付与されておりました。
  • そのアクセス権限により、元社員は、データベースにアクセスし、お客様情報を閲覧し、データを取得しておりました。」(2014年7月17日付ベネッセホールディングスのプレスリリースより)

 

「当該元社員は弊社のお客様情報を、私物のスマートフォンにコピーして持ち出していたことが判明しております。今般、警察の要請を受け、弊社がスマートフォンに残されていた情報を鑑定した結果、弊社の顧客データとすべて一致することを確認いたしました。」(2014年7月21日付ベネッセホールディングスのプレスリリースより)

つまりは、下請け先の社員が、担当業務のために与えられていた正規のアクセス権限を利用してデータベースにアクセスしたところ、お客様情報を閲覧し、データを取得できてしまった、しかも、私物のスマートフォンにデータをコピーしていた、ということです。

ここから、まず、「物的」管理として、アクセス権限でどこまでの情報にアクセスできるようにするのか、誰にどのレベルのアクセス権限を与えるのか、また、データベースに保存されているデータをスマートフォンをはじめとする記録媒体にコピーできるようにしていていいのかを見直さなければならないことがわかります。

しかし、これは、あくまで、個人情報が漏えいした表面的な部分です。
今回のベネッセの件で、このような方法で個人情報が漏えいしたからという理由で、この「物的」管理を見直すことは、お金さえあれば、誰でもできます
要は、「物的」管理の見直しをするだけの会社は、三流の個人情報保存管理体制と言って良いと思います。

「組織的」管理の見直しも、個人情報保存・管理体制の整備としては不十分

「組織的」管理というのは、わかりやすく言えば、アクセス権限の保管は誰が行なう、データのコピーをするときには誰かの承認を必要とするなどといった、社内の手続規程の射程のものだと理解していいと思います。
おそらく、個人情報の保存・管理体制を整備している会社の多くは、社内手続規程は整備されていると思います。
そのため、今回のベネッセの件を受けて、社内手続規程を見直すにしても、規程を作り直すなどといった新たに行なうことはないと思われます。

強いて挙げれば、これまで社内では、パソコンにUSBメモリ(フラッシュメモリ)やCD-ROMなどの記録媒体を接続して、データをコピーしてはいけない、データをコピーする場合には上司の許可や申請、立ち会いが必要などといったことまでは定めていた。しかし、パソコンにスマートフォンを接続してはいけないとは定めていなかった。
このことに気づいて、スマートフォンの取扱いについて新たに規程を作るという会社はあるかもしれません

詳しく述べようとすると、BYOD(Bring Your Own Device)の話にまで拡がっていく問題です。

先に書いた「物的」管理だけではなく、「組織的」管理まで見直すこと。
ここまでやれば、三流ではありません。しかし、一流であるとも言い切れません。

個人情報保存・管理体制の見直しで一番重要なのは、「人的」管理の見直し

「物的」管理の見直しだけでは三流、「組織的」管理の見直しまでやれば三流ではないにせよ一流とまでは言えない(二流?)。
では、一流の会社はどこまで行なうか。
それは、今回の件をきっかけに「人的」管理の見直しを行なう会社が一流です。

「人的」管理、つまりは、会社の中で、個人情報にアクセスできる権限を与える人の見直し、誰に権限を与えたら良いかを役職で考えるのではなく人ごとに考える、また、各人の個人情報保護に対する意識を高めていくということです。

後者は、役職員に対する研修です。
他方、前者は何かといえば、個人情報にアクセスできる権限を与えてもいい人はどんな素養がある人なのかを考え、場合によっては今までアクセス権限を与えていた人から権限をはく奪する、今までアクセス権限を与えていなかった人に権限を与える、ということです。

とはいっても、「アクセス権限を与えてもいい人かどうか、個別には判断できないし、角が立つ。だから、組織的に役職・階層別に与えている」という声も聞こえてきそうです。
しかし、過去の個人情報の漏えい事件をちゃんと分析すると、個人情報を故意に漏えいする人には共通点があることがわかります。
それは、「借金がある人」「お金に困っている人」です。

今回のベネッセ事件の動機は「家族の入院やギャンブルで170万円ほどの借金があり、生活に困っていて金が欲しかった」などと報道されています。

直近で最もメジャーな個人情報漏えい事件であった、「証券会社のシステム部部長代理による個人情報漏えい事件」。
この事件もまた、システム部部長代理がサービス残業によるストレス解消のためにキャバクラに通い、500万円を超える借金があったことが動機であったと報じられました。

他のいくつかの事件もまた、同様に借金が原因であったりします。

ここからわかるのは、「人的」管理の見直し策の一つとしては、「借金がある人」「お金に困っている人」には、そもそも個人情報へのアクセス権限を与えないという運用をしていかなければならないことがわかります。

ただ、「人的」管理の問題は、これだけでは終わりません。

そもそも借金を作った原因はなんだったのか。
証券会社のケースでは、発端は「サービス残業によるストレス」でした。
ということは、「人的」管理の問題は、サービス残業でストレスが溜まるような職場環境を変える、もっといえば、人の配置、人員増強など、そもそも、会社の業務体制そのものの見直しを行なうということに行き着きます

今回のベネッセの事件をきっかけに、「人的」管理として、日常の業務まで見直すことができれば、一流といっていいと思います。