派遣の品格
ベネッセの顧客情報流出事件。犯人は都内のIT人材派遣会社から派遣されていたSE(システムエンジニア)で、若手SEを指導するほど信頼され、DB(データベース)へアクセスする権限を与えられていたことが悪用されました。
専門職であるITの世界で、派遣社員は珍しくなく、いわば「外部」の人間に、重要な情報を扱わせることは日常的に行われています。むしろ正社員による内製化にこだわれば、しばしば技術が停滞するからです。正社員という立場を守るために、最新技術の習得より、社内政治に労力を割くインセンティブが働くからです。
犯行はパソコンに接続したスマホに、ダウンロードするという手法でした。重要機密を扱う部署では、電子機器の持ち込みは規制されなければならないのですが、事件の舞台となったベネッセのグループ会社「シンフォーム」では、開発用のパソコンにUSBをつなぎ、私物のスマホへの「充電」が日常的に行われており、犯人がそうしていても違和感がなかったといいます。また同社の「作業実績」をみると、ベネッセの関連会社が並びます。つまり「身内」ばかりと接する企業にありがちな、良くも悪くも「アットホーム」な職場だったのでしょう。もちろん重要情報を扱う職場で、私物の持ち込みを許すのは「0.2」です。
サムスンに学ぶ?
犯行は半年以上に渡り、情報が流出したユーザーからの問合せで発覚します。発覚後、比較的スムーズに、犯人を特定できたのは、DBへのアクセス記録(ログ)が残っていたからです。つまり、定期的にこの「ログ」をチェックしていれば、不審な動きを早い段階で検知できていたはずで、そのチェックを怠った「0.2」…なのですが、そう断ずることに若干の抵抗があります。先の「充電」もそうなのですが、社員を信じスタッフに任せるという「性善説」に、ベネッセは立っていたということだからです。その反対がサムスンです。
元サムスンエンジニアの高村忠美氏が『月刊WiLL(2013年11月号)』でサムスン社内の様子を告発していました。事業場内へは撮影機能付きの電子機器はもちろん、各種デジタルメディアは一切持ち込めず、カメラ付きの携帯電話はレンズ部やSDカードの挿入部に「封印シール」が貼られ、それが許可なく剥がれていた場合は解雇されます。コピー用紙にはICチップが埋め込まれ、紙1枚の持ち出しすら厳禁です。これらのチェックは出社退社のたびに毎日行われます。そして電子メールは全て監視され、添付ファイルを添えようものなら、あらぬ疑いを掛けられるリスクがあると紹介します。そして筆者は「サムスンの強固なセキュリティに学べ」という日本のマスコミに対して、
"サムスンの社風というよりも、韓国という国自体に「他人を信用しない」という民族性がある"
と結びます。筆者の主観によるものかもしれませんが、ベネッセはその反対だったのか、単にマヌケだったのかの意見は分かれるところではないでしょうか。
被害者ではないのか
ベネッセといえば「赤ペン先生」の「進研ゼミ」。企業には民族性にも似た、「社風」というものがあり、子供の教育を事業の柱に据えるベネッセの社風が「性善説」に立っていたことに、むしろ好感を覚えます。ベネッセに問題が無かったとはいいませんが、今回の個人情報流出は、信頼していたスタッフによる「個人的犯行」であり、事件の構図からみたベネッセは、情報流出の謝罪費用として200億円を用意し、それ以上の「信用」という財産を失った「被害者」ですが、同情する報道はゼロです。
個人情報が適切に保護されることは大切ですが、いささか本末転倒しているように感じます。事件を報じた2014年7月18日の日経新聞にこんなコメント寄せられていました。
「長男は教材を楽しみにしているが、抗議の意志を示すため退会するつもり」
子供の学習意欲、勉強の機会を奪ってまで守る個人情報ってなんでしょう。さらに、テレビ報道では「顔出し」で不安を述べる「母子」がいました。「顔」が個人情報であることは言うまでもありません。
これから起こる詐欺
2005年の個人情報保護法が施行されてから、たびたび制度の問題は指摘されています。保育園や小学校で「連絡網」が作れなくなったのもこのためです。流出した個人情報を売買していた、「名簿屋」の罪を問えないのも存在も制度の欠陥によります。不正な方法で入手した個人情報と知らなければ罪にならず、彼らは「知らなかった」を合い言葉に、塀の上を歩いています。ベネッセの名簿が瞬時に多方面に売却されたのは彼ら流の「ババ抜き」です。しかし、これだけ騒ぎが大きくなれば「知らなかった」は通用しません。つまり、今回、流出した名簿は事実上、無価値と言って良いでしょう。仮に電話による勧誘で、名前を確認してきたらこう答えれば良いのです。
「そんな名前の子供はいません」
名簿を元に電話していると喰い下がったなら、渡りに船です。
「不正な手段で入手した情報を営業活動に利用する企業と話すヒマはありません」
受話器を置けば一件落着です。警察に通報しても良いでしょう。一方、懸念すべきは「詐欺」です。ターゲットは子供ではなく、保護者です。
"○万円でベネッセの名簿を回収します"
と、持ちかける「名簿回収詐欺」です。デジタルデータで拡散した名簿情報は、現行法下において事実上、回収も消去も不可能で、これに金を払えば詐欺業界の「カモリスト」に掲載され、未来永劫しゃぶりつくされるのでご注意ください。
エンタープライズ1.0への箴言
「個人情報の完全保護は不可能。という立場でセキュリティは考える」
宮脇 睦(みやわき あつし)
プログラマーを振り出しにさまざまな社会経験を積んだ後、有限会社アズモードを設立。営業の現場を知る強みを生かし、Webとリアルビジネスの融合を目指した「営業戦略付きホームページ」を提供している。コラムニストとして精力的に活動し、「Web担当者Forum(インプレスビジネスメディア)」、「通販支援ブログ(スクロール360)」でも連載しているほか、漫画原作も手がける。著書に『Web2.0が殺すもの』『楽天市場がなくなる日』(ともに洋泉社)がある。最新刊は7月10日に発行された電子書籍「食べログ化する政治~ネット世論と幼児化と山本太郎~」