ベネッセが馬鹿だというのは以前論証した通りだが、コンピュータネタ、目次へ
ここまで馬鹿とは思わなかった。最大2070万人分の個人情報が漏洩した件である。
「ベネッセのみに登録していた個人情報」でDMが着たという問い合わせが複数あったとことで発覚したようだ。これを聞いて「おお!みなさま情報リテラシーが高い。漏洩したときに判別がつくように登録する情報を個別に変えていたのか」と一瞬感心したが、そんな馬鹿な。
すぐに気が付いた。住所や氏名を「講座を受けている子どもでも書けるように」ひらがなを交えたり、新体字で書いたり、そうしてたわけね。発覚したのはベネッセの特殊性も関係していたようだ。正直なところ、紙で持ち出せない範囲であれば760万件漏洩しようが、2020万件件漏洩しようが持ち出す側のやり方としては変わらない。だから原因究明の点から件数は特に問題としない。せいぜいソフトバンクが勝手に決めた基準、1件あたり賠償金額500円を適用した場合、2020万件だとベネッセのキャッシュフローが空になり、間違いなく倒産する、その程度の違いだけである。つまりかなり切羽詰まった問題なのだ。
それにしては対応があまりにもばかげている。
「情報を持ち出したのは社員ではない」ことだけはすぐにわかったそうだ。
これは本当だろう。というのは、あえて致命的な恥をさらしているからだ。
社員でないと即時に判断できたということは、
「社員は情報が持ち出せないが、社員以外なら情報を持ち出せる」
と認めたことに他ならない。つまり社員に対しては情報管理をきっちりやってますが、社員以外に対しては穴があります、と言っていることに等しい。ベネッセが正気であるとすれば、自社がこれほど間抜けだと示す嘘をつくわけがない。だから実際にそうだろうということだ。まさか社員に「個人情報を持ち出したものは名乗り出なさい」とやって返事がなかったから、社員の関与はない、なんてことはないよね。こういう大失態といえそうな状況をしれっと発表して、調査はしますが詫びはいれてない。ここから分かるのは発表した原田会長兼社長は「それが普通でしょ」と認識しているということだ。でもさー、この原田さんって、以前アップル日本法人の社長だった人でしょ。つまり
「アップルではそれがあたりまえ」
ってことだよ。つまりiPhoneに登録した情報は、社外の人間に筒抜けが当然、ということだ。Docomo,Softbank,auは即座に契約状況を確認し、自社の顧客を守ることを考えなければならない。これは義務だ。(少なくともこれをネタにアップルと交渉して、取引条件を有利にするくらいのことは考えてしかるべきだ。)だから2人ほど役員を首にするのだったら
「それほどの多量の情報にアクセスできるのは、役員IDその他ごく少数の者に限られる。件数から言って役員IT研修の際に実施したデータベース検索結果が疑われる。であればその時端末に作られていた中間ファイルが消えていなかったのを第三者が持ち去った可能性が高い。」
ということを述べて「当事者の疑いがある役員2名と研修の責任者である部長を謹慎処分にしております」ってやったんでいいんじゃないか?さりげなくサーバー本体をクラックされたわけではないことをしのばせるところなど見事なもんでしょ。
するとより軽い処分でもトカゲのしっぽ切りに見えず、きっちり対応しているように思える。
そのうえで「第三者の疑い」とするわけだから、説得力も多少は出る。当然、着任早々の原田社長は関与してないわけだから、謹慎する必要はなく、IT企業のトップにいた経験を生かし、原因究明と対策の陣頭指揮を執る、といえばかっこうはつく。ジャストにしても「人名辞書のデータとして購入したものであるが適法なものという説明で使用制限もなかったのでDMに流用した」くらいを言っとけば、なんとなく仕方ないかな、感は出る。
多分、ベネッセ原田社長の会見を見聞きして「責任もってしっかり調査しろよ」って思った人は多かろう。でも、調査ってどうすればいいのかな?どうやれば火消しに向かって動いていると世間にアピールできるのかな?具体的に私は思いつかなかった。
ブログの炎上であれば毅然とした態度と情報公開、というそれなりの火消しの仕方が確立されている。しかしこれは自分が悪くない場合だ。今回は情報管理に穴があったわけで(しかも社員よりも社員以外にセキュリティが甘いという想像できない失態!)、どうしようもない。
当然、これではベネッセの復活をかけたタブレット端末を中心とした通信教育の技術革新なんかできるわけがない。なので、思ったのだな。システム監査の第三者機関がいるな、と。監査法人会計事務所みたいなものだ。当然今までもあると思うのだが、、、警察に任せてなんかおけないからね。
あれ?僕がなぜ情報処理試験「システム監査」に落ちまくるか分かるような気がしてきた。筆記部分は午前、午後とも余裕なんだ。なのに論文がC評価。きっとシステム監査法人を無意識に想定していたのだろう。しかも、問題に突っ込まれないようにする言い訳まで同時に考える。論文審査員としては何を書いているかわからなかったのだろう。
よし、暇だからシステム監査個人、作ろうか。初仕事はベネッセな。大丈夫、情報漏洩が起きたことの最終調査結果はもう作ってある。
データベースへのアクセス用IDで、これほど高権限のものは役員用および他少数に限定し、厳重に管理していたが、データベースメンテナンス用IDが同等の権限を持っていた。ID設定時に制限を書けることも検討したが、たとえばバックアップが全件とれない可能性がある、などという事情があるということでIT業界の慣習でもあり、万能IDと同等としてしまった。これを不正に利用されたと思われる。大丈夫、同じような事情を心に抱えた人たちはそれ以上追及しません。つまり追求できるほどの知識なり、システムなりを持っている個人/法人(含むマスコミ)はそれ以上何も言わないということです。これで落着。