群馬県高崎市のデータベースコンサルタント、ITシステムアドバイザー「なみぶたぁのだんな」(@namibuta)です。
報道も下火に
ベネッセから個人情報が漏れた問題。
このブログで取り上げるのは今回で3回目になりました。
チキンナゲット問題が浮上して以来、マスコミで全く取り上げなくなりましたね。
ベネッセの役員は少しホッとしているのではないでしょうか?
ところで容疑者の証言が出始めたので、取り上げてみたいと思います。
スマホにコピー
大手企業のPCはセキュリティ対策の観点から、USBメモリや外付けのハードディスクにはファイルをコピーできないようにガードがかかっています。
そもそもそういった機器を接続しても認識せずにエラーになるように設定されていることが多いです。
スマホもUSBメモリのような働きをしますので、ガードがあると引っかかります。
でもベネッセの事件は、充電しようと思って指したらエラーにならなかったと。
ここから考えられることは、ガードをする設定が甘いものだったということです。
旧式だとUSBメモリはチェックできるのですが、他の機器はチェックできないということがあります。
その程度のガードしか掛けてなかったのかも知れません。
パートナー会社なのに・・・
容疑者は「ベネッセの関連会社に派遣できていた外部社員」という肩書きです。
社外の人間にデータベースを直接操作できる権限を与える。
普通の会社でしたら信じられません。
一般的には、以下のような感じかなぁ・・・。
- アクセス権を申請
これは社員でないとできないことが多いです。外部の人間ができるなんて・・・。 - 専用のパソコンで操作
サーバーにアクセスできるパソコンは普通限られていて、サーバールームのような高度なセキュリティエリアでのみ操作できるのが一般的です。
また、立ち会い者の同席の元でないとNGというのが普通ですね。 - データの持出は不可
基本的にデータを持ち出すことはNGです。
ということで、そもそも公開されたら恥ずかしくなるような対策しか取ってなかった訳ですね。
しかもサーバを幾つか経由させて、ばれないようにしたと言っています。
そんな外部の人間が自由にアクセスできるサーバーが幾つもあること自体が信じられません。
これでは持ち出されても会社としては言い訳できないのではないかと・・・。
データベースの知識さえ有れば、普通に持ちだせそうですね。
こういった行為をしていたのがこの容疑者だけなのかも疑問になってきました・・・。
顧客側として
報道からすると延べでかなりの数のデータが漏れているようですが、我が家に来た通知は先日の封筒1通のみ。
漏れたのはむすこの情報1件ということのようです。
個人情報としては、私とむすめの情報2件は現役なので存在しますし、この分だと決済情報も怪しいものです。
ベネッセとしては、顧客に誠意ある対応、きちんとした説明をすることが必要。
個人情報は財産です。事業継続するのであれば、最低限のセキュリティ対策をとって財産を守るべきですね。
これを反面教師に、業者を選定するときには預けたデータの管理方法を確認してみるのも選択のポイントかも知れません。
「インターネットの賢い利用法」。個別セミナー・相談会を随時開催しています。
あなたの会社のデータ活用を経験豊富なデータベースコンサルタントがアドバイス。
パソコン・スマホの操作方法からシステム構築・運用まで、お問い合わせ・ご相談はこちらからお気軽に!→お問い合わせ
