企業法務コラム

ベネッセ 情報管理に穴

ベネッセコーポレーションの顧客情報漏洩事件で、業務委託先の元システムエンジニア(SE)によるデータ持ち出しの経緯が、警視庁生活経済課の調べで明らかになった。
顧客データベース(DB)に接続できるパソコンが置かれた部屋には100人以上が出入りできたが、2台の防犯カメラが常時監視。DBを閲覧できる権限を持っている関係者は同容疑者ら数人に限られていた。パソコンの起動時やサーバーへの接続時、DB閲覧時に、各3種類のIDとパスワードを入力することで情報漏れを防ぐ仕組みだった。
ベネッセでは、パソコンにUSBメモリーなどの記憶媒体を接続するとエラーになる仕組みだったが、最新型スマホには対応していなかった。

※参照
2014年7月26日 日本経済新聞
「ベネッセ、情報管理に「穴」 容疑者の最新スマホ防げず」

(評)
同社のセキュリティーが、USBメモリーには対応していたのだが、スマホには対応していなかったということらしい。上記SEはスマホの充電をしようとして、パソコンにつないだら、充電できてしまったため、これであればデータも盗みだせると判断したらしい。新型のセキュリティーソフトならスマホにも対応できたはずで、更新が遅れていたのだろう。
企業はデータ漏出を防ぐため、持込みのパソコンを使わせず貸与したパソコンを使わせたり、そのパソコンも外に持ち出せないように鎖でつないだり、と苦労している。今回はスマホという抜け道が問題となった。
ベネッセは当然、このSEの勤務先とは秘密保持契約を締結していたはずだが、さらに個々の従業員からも秘密保持誓約書を書いてもらうことも必要だろう。法的な効果というより、心理的効果として有効だ。ただ、心理的効果を狙うだけに、秘密保持契約に署名させるときも、重々しい雰囲気を演出するのもいいだろう。

法律事務所ホームワン 代表弁護士 山田冬樹

2014年08月08日
法律事務所ホームワン