顧客データ管理を委託していた外部業者の派遣社員が引き起こした、ベネッセの顧客情報流出事件。増加傾向にあるサイバーアタックだけでなく、内部からの犯行の危険性も高いことが再認識された。こうした犯罪を防ぐには、テクノロジーだけではどうにもならない。

サイバーアタックだけではない
内部犯行の恐怖

 10月14日、ベネッセコーポレーションの顧客情報漏洩事件の初公判が東京地裁立川支部で開かれた。松崎正臣被告は、顧客データベースの保守管理を委託されていた外部業者の派遣社員。昨年7月から約1年間にわたって顧客情報を名簿業者に売却し、約400万円を稼いでいた。漏洩した顧客データは、およそ3500万件にも上る。

 年々増え続けるサイバーアタックによって、顧客情報が外部に漏れ出る事件は頻発している。最近でも、日本航空やヤマト運輸などが被害を公表している。しかし、内部で働いている人間が悪意を持って情報を盗み取るという犯罪も起こりえるのだということを、ベネッセ事件は強烈に印象付けた。

ベネッセ事件の対応はどこで間違えた?<br />法的対策と広報対策の要点はここだUSB経由でスマホを使って抜き取るという簡単な手段で、社内制限を簡単にすり抜けた(写真はイメージです)

 松崎容疑者はUSB経由で情報をスマートフォンに転送して持ち出した。外部メディアにはデータを保存できない設定にはしていたものの、スマートフォンをUSB経由でメディアプレーヤーとして接続したことで、制限をすり抜けたものと見られる。

 むろん、テクノロジーのこうした穴を埋めて行くことは大切だが、それだけでは内部の犯行を阻止することは難しい。

 たとえば、記憶力のいい人が、毎日5件ずつ、個人情報を暗記して持ち出したらどうだろうか?もしくは、これから普及していくであろう、ウェアラブルデバイスを使われたらどうだろう?

 グーグルグラスのような、分かりやすいものならば、持ち物検査でNGにすればいいだろうが、下着に付けるようなタイプのものならば、すり抜けることは可能かもしれない。こうしたハード面での対策は、イタチごっこ。やらないよりは、やった方がもちろんいいが、それだけでは万全ではないのだ。