“かしこい派遣社員”を阻止するには、従来のDLP(データ漏洩防止)では不十分

ケビン ベイリー、マーケティング ストラテジー責任者

The traditional DLP loophole

顧客の個人情報を危険にさらすデータ漏洩について、組織はオープンで正直であると誰もが思っていた矢先に、ある日本企業で重大なデータ漏洩に関する詳細が半年もの間見過ごされていました。

通信教育事業を行うベネッセコーポレーションから、およそ1,020万件分の顧客情報が流出しました。ベネッセの顧客データを管理するITサービスのグループ会社であるシンフォームが雇っていたデータベース管理の派遣社員によって顧客である子供の名前、住所、生年月日が盗まれ、不法にコピーされました。 親会社であるベネッセホールディングスによりますと、流出した可能性がある顧客情報は2,070万件にのぼります。

この個人情報を「名簿業者」に売り、さらにジャストシステムのような競合企業に情報が回り、個人情報がマーケティングキャンペーンに使われました。松崎容疑者がギャンブル癖を補うために情報を盗んで簿業者名から得た対価は約25,000ドルですが、ベネッセがこの事件で被った財政的コストや、落とした評判の深刻さをコストとして計算すると、これとは比較にならないほど重大なものです。

  • 事件発覚後1か月間で株価が8%下落。
  • 少なくとも3,000人の顧客からキャンセルの申し出。
  • 情報流出の対象顧客への補償として200億円の原資を準備。
  • 茂木敏充経済産業大臣は、個人情報保護法に基づき、本件に係る事実関係などにつき詳細を書面で提出するよう報告徴収指示を出す。

菅義偉内閣官房長官は、同日の記者会見場において、ベネッセの大規模情報漏洩事件を踏まえて、「個人情報保護法改正も検討せねばならない」と語っています。

しかし、ベネッセはそもそもこの種の事件が起こらないようにセキュリティ保護策を取っていなかったのでしょうか。実は、データ漏洩防止システムは配備してあったのですが、容疑者はデバイス管理ポリシーを回避して、個人情報を個人のUSBデバイスにダウンロードしたのです。(私物のスマートフォンが記録媒体として使われました。)

今回の事件で明らかなように、従来のDLP(データ漏洩防止)機能では、若干の知識があればすり抜けられてしまいます。企業や組織はコンテキストとコンテントを意識した次世代DLPを提供する革新的なベンダーを探さなくてはなりません。

クリアスウィフトでは、グローバル調査レポートなどを通じて内部の脅威(内なる敵)についてITコミュニティに繰り返してお伝えしてきました。個人情報や企業の機密情報へのアクセスや通信の際に起こりがちなうっかり事故について従業員に教育する必要性はもちろんのこと、今回の事件のような社外の派遣社員のように機密データを不正に持ち出そうとする本物の「内なる敵」に対して常に警戒していなければなりません。 

アダプティブ リダクション機能があれば、この容疑者が企てたような1,000万件にもおよぶ情報が盗まれる可能性を排除できたかもしれません。情報をコピーして、それを添付の中や実行ファイルの中に埋め込ませて隠していたとしても、当社独自機能であるアダプティブ リダクションが機密情報を除去し、容疑者のスマートフォンの中には機密情報が“***”に置き換えられた文字が入ったファイルしか残っていなかったでしょう。これでは25,000ドルはおろか、25セントの価値すらもありませんね。