毎日新聞より
信教育大手ベネッセホールディングス(岡山市)の顧客情報漏えい問題で、顧客情報を持ち出したとされる外部業者のシステムエンジニア(SE)の男性が警視庁の任意の事情聴取に対し、関与を認める供述をしていることが関係者への取材でわかった。同庁は男性の勤務状況と、顧客データベース(DB)から情報がダウンロードされた履歴の照合など詰めの捜査を進めており、近く不正競争防止法違反(営業秘密の複製・開示)の疑いで強制捜査に乗り出すとみられる。 関係者によると、男性はDBの保守管理をしていたベネッセのグループ企業「シンフォーム」(岡山市)から業務を再委託された外部業者に派遣社員として勤務。DBに接続できる端末が置かれている東京都多摩市のシンフォーム東京支社に出入りしていた。 男性には業務上、DBへのアクセス権限があり、昨年末、男性のIDでログインし、複数回にわたり顧客情報がダウンロードされた履歴が残っていたとされる。 このため、警視庁が男性から任意で事情を聴いたところ、漏えいへの関与を認める供述をしたという。業務を装い、ベネッセ側から貸与されたパソコンにダウンロードし、USBメモリーなどの記憶媒体にコピーして持ち出したとみられ、名簿業者に流出した経緯などについても詳しく調べる。 ベネッセによると、漏えいしたのは同社の通信教育講座「進研ゼミ」などを利用する子供や保護者の名前、住所、電話番号など約760万件で、最大で約2070万件に上る可能性がある。
いろいろと情報が出てきているが、ベネッセ(個人情報保有企業)、シンフォーム(DB保守企業)、ジャストシステム(名簿購入企業)、文献社(名簿業者)、パンワールド(文献社へ名簿を転売した業者)と社名が上がっているのに対し、肝心の企業はまだ外部業者としか書かれてないけどなぜだろう。
何か理由があるのだろうか。
また、他ソースでは、手荷物検査をしていたとのことだが、USBメモリほどの大きさのものを隠し持つのは簡単だろうね。
さすがにボディチェックまではしないだろうから検査自体にどのぐらいの意味があったのだろう。
ということで、今回の件の対策を考えてみた。
USBメモリ対策
市販されているセキュリティソフトで外部記憶媒体の無効化可能(USB機能ではなく、あくまで記憶媒体としての機能の無効化)なので簡単に対策できたはず。市販なので値段も安い。そこそこの規模の企業は導入している気がするが、ベネッセほどの大手企業のグループ企業が対応していなかったのは不思議に思う。
DBアクセス権対策
DBの保守・管理を担当する従業者にアクセス権が与えられるのは業務上当然だが、クライアントPCへのダウンロード権限もあるのはやりすぎかと思う。業務上ダウンロードすることもあるだろうけど、レアケースではないだろうか。
ダウンロードの際の申請・承認の仕組みと、ダウンロードをトリガーにして管理者にメールが飛ぶような仕組みがあれば良いのではないか。
管理者は業務上必要なダウンロードかどうか判断できるし、不正にダウンロードすればすぐバレるので何よりも抑止効果になると思われる。
この実装がどのぐらい大変なのかわからないが有効なのではないか。
コメント