名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない?
ベネッセの罪:
http://www.benesse.co.jp/
預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\500円のお詫びの支払いが必要。顧客から指摘があるまで気付かないというお粗末さは言い訳無用。最大2千万件なんて未だにダウンロードされたデータ量が把握できないのは日常的な監視システムが殆ど何も機能していなかったのと同じだ。適切な管理の対極にあるのが実態ではないか。
ジャストシステムの罪:
http://www.justsystems.com/jp/
教育関連の大量の名簿を入手するときに出所素性を把握するのは当然の業務。不正取得の情報を利用すれば自らも社会的責任を免れないのは世間の常識だ。目的外使用に当たらないことをどのように確認していたかの説明責任もある。
この会社もセキュリティに関する事業をやっているがまだまだ本物でないことが露呈した。情報セキュリティは情報の漏洩に目が行きがちだが、不正取得はもっと深刻な事態を招く。今回の事件でジャストシステムは教育事業からの撤退を余儀なくされるかもしれない。
教育事業に進出するときに後発のジャストシステムが巨人ベネッセを知らないとか意識しないとか決して有り得ないことだ。しかも瀬戸内海の向こう岸の会社だ。世間はジャストシステムに疑いの目を向けるのは当然だが、経営陣は何の説明責任も果たしていない。
名簿業者の罪:
名簿業者はそもそも違法だろう?。本人が承諾していない個人情報、本人の承諾が確認できない個人情報を勝手に売り買いするのは犯罪でしかない。
個人情報は個人が特定の業者に限定して開示するもので情報は其の業者の管理下にある前提だ。名簿として外に出ることは有り得ない。世間に出ている名簿は殆どが不正取得・不正流通だ。名簿業者が保有する名簿はほぼ100%違法なものと考えてよい。それが世間の常識だ。
名簿業者は基本的に裏社会ビジネス。犯罪集団と密接に関わりを持っている。
このような中で、
ジャストシステムは名簿業者からそれと知らずに購入したといっても通る話ではない。ジャストシステムは広報から「我々は知らなかった」というコメントを出しただけで経営陣の謝罪会見はまだ行われていないが恥を知れといいたい。やっていることは不正競争そのもの。ジャストシステムがやらせたと情報窃盗事件といわれても抗弁できないだろう。
.*.
ISMSへの示唆
今回の事件はまだ解明の途上ではあるが示唆することは多い。
先ず、ベネッセ。
ISMSの基本がまるで出来ていない。外部委託しても責任は委託出来ないくらい子供でも分かることだ。IT統制能力の低いユーザー企業が陥る委託先任せのシステム運用管理では徹底した委託先管理は欠かせない。そのためにはセキュリティ担当の意識・明確なミッション・高いITスキルが必須要件となる。
審査機関が不適合を出さないことで有名なBSIジャパンというのも不幸な話だ。担当者は楽を出来るから歓迎しているんだろうが、高い金を払って改善機会を放棄しているのだから経営者からすると全く馬鹿げた話になる。特定の審査機関との間の馴れ合いは回避すべき。経営者目線では、不適合が出なくなったら其の審査機関はお払い箱にしていい。
次に、ジャストシステム。
ISMSでは、ややもすると社内の情報をどのように管理するかに注力しているが今回の盲点は情報取得の適切性についての管理だ。
情報取得前の管理策。取得後の管理策。これらを明確にする必要がある。定期的なリスクアセスメントでなく、イベントドリブンのリスクアセスを行うこと。
コンプライアンス教育も弱い。名簿屋から名簿を買うのはコンプライアンスリスクがあることぐらい常識だろう。四国は治外法権じゃない。金額から見て稟議も回しているだろうが揃いも揃ってリスクを警鐘しなかったのは経営も含めてリスク管理が不十分。
事業継続管理も適切かどうか。不当取得の名簿で顧客開拓を始めている訳だが、そのまま使うか?、ジャストシステムとして謝罪するのか?(迷惑に思った個人は少なくない)。未だに経営陣が記者会見に臨んでいないのは混乱しているからだろう。それとも田舎者の強みを武器に何もなかったように振舞うのか?。
情報流出は買い手にも責任があるのは当然のことだ。
.*.