近年の情報流出事件の多くはインターネットを経由した流出であるが、 ベネッセ個人情報流出事件はインターネットを経由しない物理的な流出だったことが珍しい。 事件の背景には、非技術企業のセキュリティに関わる当事者意識の欠如が透けて見えた。
ベネッセに登録した個人情報が、別の通信教育のダイレクトメールに使われたことから情報流出が発覚した。 調査により、データベースに登録された個人情報が外部に持ちだされて名簿業者に売却されたことがわかった。
容疑者はすぐに逮捕されたが、その素性は、 ベネッセグループのシステムを担当する関連会社が、 外部の会社にデータ管理を委託し、 その外部会社が雇った委託社員であった。 報道によると、容疑者は月収が38万で計170万の借金を抱え、 月々11万を借金返済に当てていたようだ。
最終的な流出件数は3500万件とされ、過去最大規模の情報流出事件になった。 その一方、容疑者が名簿会社に売って得た金額は約250万とかなり少ない。
ベネッセの体制に大きな問題がある。
大量の個人情報を抱える企業でありながら、 システムをグループ内の関連会社に丸投げしていることがひとつ目の問題だ。 完全にコントロールできた関連会社なら良いという考えもあるかもしれないが、 やはりこの体制では丸投げする側のセキュリティに対する意識が育たない。 常に様々な攻撃に晒され、リスクと隣り合わせの当事者であるという自覚を持たなければならない。 システムやセキュリティは専門的な分野ではあるが、 いまや専門だからといって専門家に任せっきりにしていい状況ではない。 すべての人がセキュリティについて学ぶ必要がある。
さらにグループ内のシステム会社は、システム会社でありながら、データベースの管理を外部に委託した。これが一番の失態である。 個人情報のような危なっかしい物を、コントロールしきれない外部に委託するなどリスク管理が全くできていない。 グループのシステム会社といえば、その使命の本質はシステムを作ることではなく、グループの最も危険な部分を守ることだろう。 もちろん最も危険な部分はデータベース内の個人情報だ。 コードは下請けに出せても、データベース管理は下請けに出せないと判断できないとマズイ。 もちろん人間は全員犯罪者だと考えるべきで、社内で管理するだけで犯罪が起こらないわけではないが、罪の犯しやすさは立場によって変わる。 不思議なことに実際に犯罪を犯す人は非常に少ない。 いかに人間に犯罪を犯させない体制を作るかというのは非常に重要だ。
データベース管理を委託された外部会社は、実際の業務を委託社員にやらせた。 当初の報道は派遣社員だったが、そう書くと偽装派遣がバレてしまうので身分を変更したかもしれない。 この業界ではよくあることだ。 いずれにせよ、実際にデータベースを操作する人間はグループと縁もゆかりもなく、全くリスクを共有しない人間になってしまった。 怖れていた通り、これではコントロールできている状態とは言えない。
その人物を月給38万で働かせた。 契約形態からするとおそらくボーナスなどは無く年収たった450万、 業務委託であればフリーランスなので福利厚生もなく各種保険などもすべて自己負担になるだろう。 フリーランスだと年収800万が普通のサラリーマン程度という話も聞く。 年収450万はかなり苦しい部類になると思われる。 会社の危険な部分を触るような業務をさせる金額ではない。 不正に手を染めても仕方のない状況なのである。
全てにおいて業務委託がダメなわけではない。 特に、本物のプロフェッショナルでないと対処できない問題がある場合、業務委託するしか選択肢が無い場合がある。 そのような場合はもっと高給になるだろうし、本物のプロフェッショナルは職務に関わる部分では真摯であることが多い。(その他の面ではクズであることが多い) プロフェッショナルな仕事と十分な報酬を提供できるなら、そこそこ安全に運用できるだろう。
事件の背景には組織構造と雇用に問題があった。 それではどのように組織し、どのような雇用をすればよかったのだろうか。
まず最初に、個人情報の保護は非常に重要な問題であり、それは簡単なことではないと認識しなければならない。 組織全体としてその認識を共有しなければならない。 個人情報の流出は致命的な問題であり、様々な攻撃者がオンラインオフライン問わず攻撃を試みているということを、 事実として受け止めなければならない。 不正アクセスを処罰する法はあるが、法は罰を決めるものであり、実際の情報流出を防げない。 法に抑止効果があると思っていたら大きな間違いだ。 情報流出してしまったら、犯人は罰せたとしても、流出してしまった情報と失った信用は二度と取り戻せない。
次に、誰も信頼してはいけないということを理解しないといけない。 誰もというのは、無関係な他人は当然ながら、同僚も、部下も、上司も、自分自身もだ。 自分自身を疑い、自分自身に制限をかけなければならない。 人間がどのように振る舞うかは可能性の問題なので、不正して得るメリットに比べ、デメリットが十分大きい場合は、不正を行わない可能性が高いという程度の推測はできる。 改善の一つの柱として、このデメリットが十分に大きい場合を作るとよい。 しかし、それはやはり信頼と言うには程遠く、人間を信頼しては絶対にいけない。
デメリットを大きくするには、会社のデメリットとリンクさせれば良い。 理想的には株価に左右される役員やストックオプション持ちの創業メンバーなどが適任だが、難しいだろう。 それが無理なら、 高い給料・高い身分をはじめ、豊富な福利厚生や高い自由度など思いつく限りの高待遇で雇えばよい。 本社の独立した部門で、プロフェッショナルとして尊敬され高給を受け取る職として少数の優秀な人間をDB管理者として雇うべきだ。 エンジニアは基本的にクズなので、快適な環境を用意し、我侭をすべて許し、常におだて続ければ最高の働きをする。
データベース管理者の人数は少人数が好ましい。 これは権限を持っている人を限定するという技術的な対策でもあるが、 それ以上に人間関係を複雑にし過ぎない目的がある。 基本的にエンジニアは他者と良好な関係を築くスキルが欠落している。 複雑な人間関係が構築される大人数の組織は快適な環境ではない可能性が高い。 人数が多いだけで不満を溜めこむのだ。
技術的に防ぐことは結構難しい。 権限を持っている人の本来の仕事を邪魔せず行動を制限する上手い方法がないからだ。 SQLの結果が自動的に暗号化され、別のデータベース管理者の持つ鍵でないと復号できない、という状況を作れば、単独犯による情報流出は防げるかもしれない。 だがこの運用も相当不自由で面倒くさいだろう。
何より一番重要なことは余計な個人情報を取得しないことだ。 ベネッセのような企業は今すぐ消滅するべきだ。
流出件数の多さとは裏腹に、名簿の販売金額も補償の金額も驚くほどお粗末だ。 個人情報の重要性や、情報流出の責任の重さを、流出させた企業はおろか、被害にあった当人も全く理解していないと言っていいのではないか。 事の重要性を世間に広く知らしめるために、米国のように集団訴訟を起こし懲罰的損害賠償を取れるようになるべきではないか。