ベネッセの個人情報流出に関して、いろいろ展開が生まれていますが、きっと、日本全国の企業や組織で「自分たちはベネッセと同じようなリスクはないのか?」と右往左往されているんじゃないかと想像します。
ここまででわかっていることを踏まえ、ポイントを整理しておきたいと思います。
情報流出は、法律で罰するのは難しい
今回の事件で、久々に情報漏洩に関する法律関係の知識を思い出しました。既に犯人が逮捕されていますが、立件は「不正競争防止法」になっています。企業における競争を不正に防止するような行為を行った、ということです。
そもそも情報には所有権がありません。というか、実態がないので所有権を特定することが難しいのです。なので、情報を盗むのは、窃盗などと同じように扱うことが難しくなるのです。余談にはなりますが、ビットコインが革新的だと言われているのは、情報に「所有権」を定義できるからです。
不正競争防止法が成立するためには、「秘密管理性」「有用性」「非公知性」の3つを満たす必要がありますが、今回ベネッセが保持する個人情報はそれに該当すると判断されたようです。
【ベネッセ情報漏洩】顧客情報は「営業秘密」 事件化へ要件満たす – MSN産経ニュース
つまり、自社が情報漏洩した場合に犯罪として立件されるためには、これらの要件が満たされるように情報管理しておく必要があります。今回のベネッセの件では、「秘密管理性」を満たすかが一番ポイントになったようです。漏洩を防ぐ仕組みが構築されており、社内で「秘密」として管理されている状況であったと認められたことになります。
人的対策と技術的対策はどこまでやれば良いのだろうか
今回の犯人は、ベネッセの関連会社であり、システム運用管理の中心的存在であったSEとなっています。これで思い出したのが、少し前にあった横浜銀行の事件です。事件は、横浜銀行のシステム運用を担当していた富士通フロンテックの社員が預金者の情報を見てカードを偽造し引き出していた、というものです。
西本逸郎のIT社会サバイバル術 – 横浜銀行のデータ不正取得事件から考える、内部不正事件と標的型攻撃の共通項:ITpro
横浜銀行の場合、暗証番号を見る正当な権限があり、長年担当する中心人物だったようです。
重要な情報を管理する体制として、長年担当し正当な権限を持つ、信頼されている人間が犯行に及ぶようになると、企業は大きなダメージを受けます。属人的な状況を作らない、権限を一人に掌握させないなどの人的対策は重要になるでしょう。
また、不正競争防止法における「秘密管理性」に認定された通り、入退室管理や権限管理、複製防止などの技術的対策は行われていたようです。あえて書きませんが、Twitterでは複製防止をすり抜けてデータを持ち出した方法に関する情報が流れていました。技術的対策には、いたちごっこの面もあります。常に危機感を持ち、技術的対策をアップデートし続ける必要があります。
クライシスマネジメントにおける初動の重要性
企業に危機が生じたとき、その初動はとても重要です。これまでマクドナルドの「顔」だった原田さんが、新しいベネッセの顔として表舞台に立つにしては、相当ヘビーな案件になってしまいました。
個人的には、最初の記者会見で「金銭的補償はしない」と明言されたことに、違和感を覚えました。会見当時、どこまで事実関係を掴んでいたのかはわかりませんが、漏洩したことに間違いはなく、事情はどうあれ「管理体制が甘かったんじゃないの?」という認識を抱かれる可能性は十分にあります。その後の会見では金銭的補償を行う方針に切り替えたことから、その間に危機管理に関する認識を変えたということでしょう。
こういう場合、法的な正統性や専門的見地からの事実とは別で、「一般的な感覚」が重要になります。銀行やクレカなどの直接的に金銭に関する情報は含まれていなかったようですが、ベネッセの扱っている顧客情報には子どもが多く含まれており、家族構成や職業情報など比較的センシティブと思われる情報が対象になっており、心理的には結構な抵抗感があります。そういう意味で、初動における感覚を読み誤った感があります。まあ、結果論になりますが。
クライシスマネジメントでは、初動がその後の企業イメージを大きく左右します。被害者やメディアがどういう感情を抱くかを考慮する必要があります。企業のためと思い保身に走ると、逆効果で大きく企業イメージを毀損することがあるわけです。
以上です。「自分のところは大丈夫」という過信は禁物ですね。
