ダイヤモンド社のビジネス情報サイト
最新!会社の危機管理マニュアル 白井邦芳

ベネッセは本当に他人事か?
企業を出し抜く新たな情報漏洩の手口と裏側

白井邦芳 [ACEコンサルティング株式会社 エグゼクティブ・アドバイザー]
【第1回】 2014年10月31日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 この事件の発表から3ヵ月が経過した頃、米金融大手のJPモルガン・チェースは標的型サイバーテロにより7600万人の顧客情報と企業700万社分の住所や氏名が流出したと発表したが、この報道では「人」が使用されていた。

 一般的に、同一個人の情報が企業内に複数、年度別や用途別に保管されていると、盗まれた際に「複製」も含めて、最終的な漏洩人数を把握することが極めて難しくなる。さらに、コンピュータ的に考えれば、住所で「1-1-1」と「1の1の1」、さらに「1丁目1番地1号」は全て別の住所と判読され、数字の全角・半角の違いも読み取ることができない。このような状況から人数ベースでは少ないと思われる事件でも、名寄せができていないために同一個人の情報が複数氾濫し、流出時には膨大なデータとして件数で表示されることがある。これは、保管時のルールが曖昧であったり、保管状況にも課題がある事例が多い。

 では、ベネッセでの事例ではどうだったのだろうか? 詳細については不明であるが、ベネッセ側の発表によると、件数は全て1世帯を1件としてカウントし、1件当たり保護者1名、子ども1名の情報が含まれ、漏洩1件について最低でも2人の情報が漏洩したとしている。この「最低でも」という情報を考慮すれば、流出した個人情報データの延べ件数は2億300万件ということだから、人数にして4億600万人以上の計り知れない膨大な個人情報データ(重複を含む)が持ち出されたことになる。これは、単純計算でも日本人口の約3.2倍に相当する。

 第二のポイントとしては、犯人が自身のスマートフォンに約2260万件もの個人情報を保存していた事実である。従来型の携帯電話と比べ、スマートフォンは小型パソコンであり、処理能力は格段に違うということをまざまざと思い知らされた事件でもあった。数年前までは、USBメモリなどの外部接続やインターネット上の容量無制限の無料オンラインストレージを使って情報を取り出す方法などが危惧されたが、ベネッセ個人情報漏洩事件では、コロンブスの卵的な手法で、犯人にしてやられた。

 また、最近のスマートフォンのコンピュータ・フォレンジック調査では、見た目上消失したデータを復旧して証拠保全する作業を行うが、後継の新機種になるほど、データの復旧が難しくなりつつある。高額な調査料を払ってもなお、復旧ができないということも度々あり、原因究明や容疑者の特定につながらない事態も出ている。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

白井邦芳
[社会情報大学院大学教授、ゼウス・コンサルティング株式会社 代表取締役社長]

1981年、AIU保険会社に入社。その後、数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の事件・事故の危機管理コンサルティングに多数関わる。2000年、AIU保険会社初代危機管理コンサルティング室長を経て、2003年、AIGリスクコンサルティング首席コンサルタント、2008年、AIGコーポレートソリューションズ常務執行役員に就任。また、2004年7月以降2008年12月まで、初代 AIG BCP Officer (事業継続計画担当役員)及び AIG RRT (Rapid Response Team:緊急事態対応チームに所属し、危機管理分野の責任者を務める。
同時に、産業再生機構の本体への危機管理支援やその投資先企業へのリスク管理の指導にも深く関わる。その後、ACEコンサルティング (株)のExecutive Advisorとして就任し、現在に至る。


最新!会社の危機管理マニュアル 白井邦芳

個人情報漏洩、サイバー攻撃、反社会的勢力による脅し、風評被害、自然災害……など挙げればきりがないほど、企業は常に様々なリスクと隣り合わせにある。最近では、IT化が著しく進行するなかで、その外部からの危機は高度化し、対応が一層難しい。最悪の場合、顧客に損害賠償請求を迫られ、経営悪化や破産への道を辿る恐れもある。この連載では、企業における危機管理の専門家であるACEコンサルティングの白井邦芳氏が最新の脅威の実態、そしてそれに対する危機管理の方法を紹介する。

「最新!会社の危機管理マニュアル 白井邦芳」

⇒バックナンバー一覧