出る杭はもっと出ろ！

本日（9月10日）付で、株式会社ベネッセホールディングスから「お客様情報の漏えいに関するご報告と対応について」が公表されました。

それによると、名簿業者に売却された個人情報は約3,504万件であるものの、「実際に被害を受けられたお客様よりも多いことが見込まれ」るので、会社としては、約2,895 万件と推計しているとのことです。

そして、個人情報の漏えいが確認されたお客様に対しては、10月下旬までにお詫びとご報告のお手紙が届くとされています。また、お詫びの品として「500円分の金券（電子マネーギフトまたは全国共通図書カード）」が同封されると書かれています。

約2,900万人とするとお詫びの品だけで145億円となり、その他郵送代等のコストも件数が多くなると馬鹿になりません。

今回の一件に対して会社が準備している原資は200億円なので、見かけ上は、その範囲内でおさまりそうですが、余るであろう原資の一部を拠出して財団法人「ベネッセこども基金」なるものを設立することも発表されています。

この基金は、「未来ある子どもたちへの支援や子どもたちが安心して学習に取り組める環境の確保などを目的」とするもので、意義はあると思います。通常のタイミングでこのような基金を設立するというのであれば、いい会社だなと思うところですが、今回の一件をきっかけにするのであれば、「ベネッセ」をアピールするネーミングはいただけないと感じてしまいます。

また、「お客様にご賛同をいただける場合に限り、上記に記載しましたお詫びの品である金券をお受け取りいただく替わりに、「ベネッセこども基金」へのご寄付をお選びいただくことが可能」とされていますが、ここも、単にお客に寄付させるのではなく、お客が寄付を選択したらプラスアルファで会社も拠出するくらいのことはあってもいいのかなと思います。

ところで、今回の情報漏えいの原因については、「自社の情報セキュリティに関する過信、経営層を含むIT リテラシーの不足、性善説にたった監査、監視体制の運用、などの企業風土に起因する甘さ」に根本的な原因があったと分析されています。そして、不正持ち出しの原因として、以下の三つのシステムセキュリティ上の不備が記載されています。

1. 業務上のデータを外部メディアに書き出しことはシステム上制御されていたが、システムのバージョンアップの際に特定のスマホへの書き出し制御がかからない状態のままになっていた。
2. 社内ネットワーク上、大量のデータの取り扱いにはアラートが発動することとなっているが、今回データが持ち出されたデータベースにはアラートが設定されていなかった。
3. 今回データが持ち出されたデータベースへのアクセスについては、アクセスログが自動で作成される仕組みとなっていたが、定期的にモニタリングされていなかった。

色々と対策は講じていたものの穴を突かれたというニュアンスが感じられますが、アクセスログのモニタリングについては、会社も「定期的にモニタリングを行うチェック機能が十分であれば、今回の不正行為の早期発見も可能であったと認識しております」と認めています。

最初の二つにしても、どちらか一方が適切に機能していれば情報漏えいは防止できた可能性があるので、たまたま制御されないスマホがあって、たまたまデータベースにアラート設定がなされていなかったというのは言い訳はかなり苦しいように思います。

「経営層を含むIT リテラシーの不足、性善説にたった監査」などが根本的な原因であったと会社は認めています。データーベースから個人情報漏えいが生じた場合の影響額が大きくなることは予想していたのではないかと思いますので、にもかかわらず上記のような状況にあったことは取締役の任務懈怠を疑われても仕方がないような気がします。

果たして株主代表訴訟というような話になっていくのか、この規模でも単に役員の減俸程度で終わるのか今後の展開に注目です。

日々成長