わりと厳格な情報漏えい対策を取っていたにも関わらず、いくつかのポイントで抜けがあったために発生したベネッセの情報漏えい【ベネッセコーポレーションで発生した顧客情報の漏えいに関する調査委員会の最終報告から】

要約を書いたのでタイトル長い(挨拶)。

報告のニュースリリースがベネッセホールディングスから昨日(2014/09/25付)出た。PDFで18ページある。全部読んでみた。

結論からいうと、デジタルデバイス持ち込み禁止を追加すべき。

当該ニュースリリースは、下のスクリーンショットにもあるコーポレートサイト上段の当該事案対策ページのバナーをクリックすると表示される当該事案対策ページの下段、このコーポレートサイト下のニュースリリース欄、ニュースリリースの一覧ページの3か所にリンクが存在する。

f:id:shigeo-t:20140926044430p:plain

IT系ニュースサイトも反応している。ITmediaのほうが最終報告の内容全体を把握しやすいだろう。ITproのほうはなんか画面が黒いｗ。

&amp;lt;a href="http://www.itmedia.co.jp/enterprise/articles/1409/25/news173.html" data-mce-href="http://www.itmedia.co.jp/enterprise/articles/1409/25/news173.html"&amp;gt;ベネッセの情報漏えいはなぜ起きた？　調査報告で問題詳細が明らかに (1/3)&amp;lt;/a&amp;gt;

&lt;a href="http://itpro.nikkeibp.co.jp/atcl/news/14/092501068/?top_tl1" data-mce-href="http://itpro.nikkeibp.co.jp/atcl/news/14/092501068/?top_tl1"&gt;ベネッセHD、情報漏洩の事故調査委報告書を公開&lt;/a&gt;

ダイジェスト的にはITmediaの記事を参照してもらうとして、結果から言えばタイトル通りの結果である。

個人情報を扱う業務の執務室には入退室管理が行われ、監視カメラも設置済
データベースへのアクセスが許可されたPCは執務室備え付け、ワイヤーロックで持ち出し禁止措置
PCは外部メディアへの書き出し禁止(書き出しには使用許可が必要なシステムを設定)
従業員と業務委託先の執務者に対して認証IDを割り当て、パスワードは定期更新
PCの設定はシステム管理部門の許可を得ない設定変更できない(ソフトのインストール制御、外部オンラインストレージなど外部サービスはURLフィルタリングでブロック)
データベースのアクセスでは自動的にアクセスログと通信量をログ収集しており、閾値を超えると管理者(部長)にメールでアラートが送信される。
当該データベースへのアクセスでは業務担当者が、管理者の承認を得てアクセスの付与を申請し、作業に必要であれば申請受付部門が承認して、アクセス権限を付与

わりと厳重ではあるのだが、今回は既報の通りのWPD(Windows Portable Devices)を使われた（参考：ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を：日経コンピュータDigital）。

WPDが盲点であったことは分かるが、それ以前にWPDが穴となっていても使わせない方法がある。単純ではあるが携帯電話、スマートフォン、タブレット等のデジタルデバイスの持ち込み禁止である。持ち込ませなければ繋がれることもない。

また、今回の事例では件のSEは名簿販売を目論んでおり、名簿販売として成立するデータ量を必要とした。そのためWPDを使ってスマートフォンにデータを格納して持ち出した。もちろんデータベース等のシステム側でアラートが上がっていれば、持ち出された時点で持ち出しが判明し、建物から出る前に漏えいを抑止できた可能性もある。

今回の対策では、調査報告pdfの9ページ目(10枚目)にシンクライアント化を謳っている。確かにシンクライアントにすることによってデータのダウンロードそのものを抑止しやすい。

しかし、目的が今回と異なり特定の少量データだった場合、デジタルデバイスの持ち込みを許していては、画面を写真に撮る等は防ぐことができず、少量の情報漏えいは防げない。単純な対策ではあるが、執務室にデジタルデバイスを持ち込ませないことは、簡単にできる上に一定の効果がある。扱う情報によっては執務室内に監視カメラを設置すると、より抑止効果が高い。

今回やこれまでの同社からの発表を見ると、今回の事例に対しては対策を考えているように思うが、1件でも情報漏えいは情報漏えいである。事件化はしないかもしれないが。

あと、今回は第一委託先のシンフォーム社(ベネッセグループ)の社員ではなく、さらにその先の委託契約エンジニアが起こした犯罪である。ここについての対策は、二次委託・三次委託については原則禁止ということになっている。

件のエンジニアは、民法656条に基づく準委任で、いわゆるSES契約ではないかと思う。単に作業であれば外部者(委託先)に実施させるのはベネッセグループとしての雇用の問題であり、二次委託・三次委託については原則禁止ということであれば、必要な人員はグループ社員を充当すればいい話ではある。

民法I 第4版: 総則・物権総論

作者: 内田貴
出版社/メーカー: 東京大学出版会
発売日: 2008/04/03
メディア: 単行本
購入: 6人クリック: 41回
この商品を含むブログ (19件) を見る

ただ、この部分についてはシステム開発部分は別建ての取り決めになっているため、外部の知見が必要な部分については問題なく委託できる。あとは、有効かつ守れる取り決めであることが必要である。

<a href="http://shigeo-t.hatenablog.com/entry/2014/07/18/122324" data-mce-href="http://shigeo-t.hatenablog.com/entry/2014/07/18/122324">件の派遣システムエンジニアはどういう人なんだろう - いろいろやってみるにっき</a>

参考までにJNSA(NPO 日本ネットワークセキュリティ協会)の最新版2012年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～(pdf)も貼っておく。これを見るとベネッセの漏えい件数最大値4,858万人に対して、2012年度はJNSAが把握している範囲で972万人。非常に大きい漏えい件数であることが分かる。

500円で賠償の件は、ニュースで出た時に反応してなかったので、なんか書いておく(投げやり)。まず「500円賠償」の起点。

&lt;a href="http://www.softbank.jp/corp/news/press/sb/2004/20040227_02/" data-mce-href="http://www.softbank.jp/corp/news/press/sb/2004/20040227_02/"&gt;お客様情報流出問題に関する、現時点までの調査結果と今後の対策について | プレスリリース | ニュース | 企業・IR | ソフトバンク&lt;/a&gt;

今回の報道。

<a href="http://www.nikkei.com/article/DGXLASDZ10H6I_Q4A910C1000000/" data-mce-href="http://www.nikkei.com/article/DGXLASDZ10H6I_Q4A910C1000000/">ベネッセ、情報漏洩3504万件に　補償は500円の金券　情報セキュリティー企業と共同出資会社</a>
ググってみると、500円という金額とかその500円分を寄付という通知で怒っている人もいるようだが、だったら共同で賠償訴訟を起こすべき(やっぱり投げやり)。氏名・性別・住所・家族構成などは漏れているけど、サイコグラフィック情報が漏れたという話ではない(はず)。数10年まえなら普通に公開していた情報(公開先はハローページや地域・学校等の連絡先一覧など)の範囲。大幅増額は無理なんじゃないかな、日本だし。米国なら懲罰的な判決もあるけど、日本では淡々と今回の漏えい内容と賠償請求額に対してどうのこうのという感じだと思う。

ここまでベネッセの件について書いたエントリを貼って、このエントリはおしまい。どっとはらい。

<a href="http://shigeo-t.hatenablog.com/entry/2014/07/11/110701" data-mce-href="http://shigeo-t.hatenablog.com/entry/2014/07/11/110701">ベネッセの情報漏えい問題に乗ってコンピュータ・フォレンジックの基本を書いておく - いろいろやってみるにっき</a>