首都圏はあまり被害がありませんでした台風8号(挨拶)。このまま梅雨明けするといいんだが。

 

ベネッセの情報漏えい問題、「洩」も漢字で書きたい。普段使わないだけで難しい漢字じゃないじゃん。いや、そういう話ではなかった。

ベネッセから漏えいした件数が大きいこと、しかもベネッセが顧客とする(あるいは過去顧客としてきた)漏えいデータは、ベネッセのビジネスにディペンドして比較的若い世帯が多い。そのため、現時点のデータとしてだけではなく長期に渡って悪用されやすいデータである。

そして情報漏えいした顧客情報を、名簿屋からジャストシステムが購入し利用したようであるという点も事件として注目される点である。

 

情報漏えい問題顕在化後のリスクマネジメントという視点で見ると、現時点のベネッセ・ジャストシステム両社の対外的な対応は対照的であり、大人と子供の差である。ベネッセには管理義務を対象とした行政罰が下る可能性はあるが、現時点で出ている情報では被害者としての側面がある。適時情報開示に努めているし、情報漏えいが犯罪行為によるものという観点で警察にも届け出ており、大人の仕事である。

一方、ジャストシステムはどこをどう切っても被害者側に立つことはできないポジションであり、その状況へのリアクションとしては企業としてのリスクマネジメント体制の脆弱性を感じる。「漏えいデータと知らずに買いました」は善意の第三者的ではある。しかし、顧客情報管理についてJustSystems | プライバシーポリシーで謳っている内容と照らし合わせると、そもそも名簿屋からリストを買って使用する行為は、顧客からオプトインされていない顧客データを使用することであり、自社のプライバシーポリシー違反であると同時に取得しているプライバシーマークやJISQ15001:2006違反ではないのか。「ぼく知らないもん」が許されるのは小学生まで。ジャストシステムの現大株主のキーエンスって、すごく厳しい会社だと思うけど、こういう面は厳しくないのかな？

 

ということなのだが詳しい情報は、ベネッセの情報漏えいをまとめてみた。 - piyolog が良いようだ。適宜更新されるし。逆にこのエントリは新情報への追随は行わない。

 

本題に入る。リスクマネジメントの観点からコンピュータ・フォレンジックについて書いておく。まずは企業におけるリスクの種類の例。時間がないので昔セミナー用に作った金融機関向けが例なので申し訳ない。教育産業のやつも時間があればきちんと作れるのだが、時間が足りない ので。

レピュテーションリスクについては、LINE株式会社はレピュテーションリスクを軽視し過ぎにも書いたが、今回も非常に大きいリスクである。

今回の事案では、ベネッセとしては大項目の法的リスク・業務リスクが該当。「グループ社員以外の内部者」が正しいとすればシステム・リスクも大きいことになる。ここを行政罰の対象とされる可能性がある。

 

今回の事案だけではないが日本では「ゼロリスク」信奉者が多いように感じる。放射脳などはその代表例。しかし、下の図にもあるように絶対は無い。例えば今回のベネッセの情報漏えいを防ぐという例で考えてみよう。本当に情報漏えいを0にするためには、その情報を使うビジネスをやめ、これまで集めた情報を複数のチェックの元に分子レベルまで分解・廃棄するというレベルまでやって、まだ0に近いというレベル。悪意や人的ミス、未知のリスクにより情報漏えいの可能性を0にできない。

上の図で「回避」「転嫁」「軽減」「受容」と書いているが補足すると、下の図のようにリスクに対する対応となる。リスクを識別し、評価し、4つの対応方法の組み合わせで対応する。

ここで題名にあるコンピュータ・フォレンジックの説明をする。フォレンジックは犯罪捜査や法廷証拠といった意味を持ったという単語。

コンピュータ・フォレンジックあるいはデジタル・フォレンジックとは、コンピュータを使った／あるいはコンピュータを対象とした「訴訟対応のための解析手段」である。今回はコンピュータ・フォレンジックで統一する。

 

現在ベネッセから広報されている内容では「グループ社員以外の内部者」ということなのだが、こういう実施者を調べるのもフォレンジックの範囲。法的問題の解決を図る手段として物証を出す。コンピュータの状態や過去に発生した事象の証拠保全や、不正アクセスの追跡のための解析手段である。

細かい手法になるとどうしても製品の話をせざるを得ないので、今回は書かない。

 

コンピュータ・フォレンジックを実施する際に何をやっているのかであるが、下記の5W1Hである。

適正なIdM(identity management)が実施されているとすれば、事業・組織・従事者に対して正しくアクセスコントロールされ、ログや痕跡が残っているはずである。

今回の「グループ社員以外の内部者」という情報が正しいとすると、明らかに「グループ社員以外の内部者」が通常業務の延長上で不正に権限を取得したとか、「グループ社員以外の内部者」がクラックしたというログや痕跡があることになる。

 

例えば「グループ社員以外の内部者」が通常業務の延長上で不正に権限を取得した場合、委託あるいは委任されている業務のひとつにアクセスコントロールの設定があり、通常の手続き(グループ社員の役職者の承認が必要など)ではその「グループ社員以外の内部者」には顧客情報にアクセスする権限のほうは与えられることは無いのに対し、一部の手続きを不正に飛ばす・不正に改ざんする・不正に代行するなどの手段で顧客情報にアクセスする権限を取得したということになる。

柔らかく書くと、例えば「グループ社員以外の内部者」はユーザIDの作成作業を委託されていて、勝手かつ秘密裡に顧客情報にアクセスできるユーザIDを作った。そして情報を抜いた後、そういうユーザIDは無かったことにしちゃったみたいな話。厳密にいえば、「なぜ作成時点でアラートが上がらない」「なぜ持ち出せた」というところは次の問題として起こるわけだが。それもフォレンジック対象。

 

警察の捜査対象となっており、容疑者確保のレベルまで捜査状況が進まないと詳細は開示されないのではないかと思うが、「グループ社員以外の内部者」及びその所属企業を相手に訴訟を起こすとか、刑事事件としてベネッセが被害者ということを確定させるためには、上記の物証が必要でありその手段をコンピュータ・フォレンジックという。

 

今回は言葉の紹介レベルだが深く面白い世界なので、ITに興味を持つ学生は大学・大学院でそういう方面を目指すのもいいだろう。って書いてもこのブログの読者に学生は少なそうだけど。

 

あと、ベネッセ「賠償金」は700億円以上にのぼる？ 大規模「個人情報流出」の法的責任|弁護士ドットコムトピックス みたいな話もあるが、まあいつものQuoカード500円話。弁護士さんにしては物事のとらえ方が相当狭いんじゃないですかね？

「グループ社員以外の内部者」説が正しいとすれば、その「グループ社員以外の内部者」と所属企業相手にベネッセと被害者が共同原告になるっていうスキームもあるじゃん。なぜベネッセ負担のみって話？