7月初旬に発覚し大きく報道された、ベネッセコーポレーションの顧客情報漏えい事件。漏えいの規模は2000万件以上、4000万人～5000万人が対象になるということで、世間にこれだけの動揺が広がったのは無理もないでしょう。

すでに、同社のシステム開発・運用を手掛けるグループ会社・シンフォームの業務委託先の元社員が、不正競争防止法違反の容疑で逮捕され、容疑を認めているということです。犯行の手口も明らかになってきており、犯人は自身のスマートフォンに顧客情報をコピーして持ち出したとされています。

ベネッセコーポレーションでは、他の多くの企業と同様に、社内端末に対するUSBメモリーの接続を禁止する対策を取っていたようです。しかしながら、スマートフォンを外部ストレージとして使用した場合に、多くはUSBメモリーと同等の振る舞いをするところを、犯人のスマートフォンはUSBメモリーと同類のデバイスとしてふるまわず、接続制限が効かなかったと推定されています。

こうしたスマートフォンによる抜け穴は、専門家の間でさえも昨年から話題になり始めていたものでした。この方面の技術動向にくわしい人材でない限り、知らなかったとしても不思議ではありません。すでに対処ができている企業も、まだ少ないと思われます。

それほどに微妙な個所に脆弱性があり、それが今回悪用されたということです。

わたしが気になったのは、この件を受けて、漏えい発覚直後に、本件の責任を取るかたちでベネッセコーポレーションのCIOの辞任が発表されたことです。

確かに、この事件が社会に与えた影響は甚大です。しかし、こと情報セキュリティの問題においては、そうだからといって辞任するのが真っ当というものではないと、わたしは考えています。

情報セキュリティのリスクは、どれだけ対策しても、残念ながらゼロにはなりません。したがって、どれだけ優れた対策を、どれだけ費用をかけて行っていたとしても、事故は発生しえます。今回の問題などは、推定どおりだとすれば「最近までは存在しなかった脅威」が原因ですが、こういうことは将来にも起こりえます。

また特に、内部犯行の防止対策には、限界があるのが現実です。たとえて言うなら、ご自分の自宅の空き巣対策にはある程度の防止策はとれても、家族のだれかが家の貴重品を持ち逃げするのは防ぎにくい、ということに似ています。

もちろん、内部犯行の対策としてできることはあり、情報資産の重要度に合わせてそうした対策は実行すべきです。重要度が高いのなら、技術動向にも感度を高めるべきでしょう。その点で、同社には不備があったのは疑いの余地がありません。

ただし、その不備がどの程度のレベルの不手際なのかは、実際に行われていた措置の内容に依ります。つまり、同社のような規模、かつ同社のように重要な顧客情報を取り扱う事業者であれば絶対確実に実施すべきと、客観的にそう判断される事項が実は行われていなかったのだとしたら、または守る体制の整備をする義務を著しく怠ったと認定されるなら、それはエグゼクティブの責任問題になるということです。

一方、そうではなく、事件発覚前に行われていた情報セキュリティ対策が他と比べてそん色がなかったものの、その穴をかいくぐって犯行が行われてしまったとしたらどうでしょうか。それもエグゼクティブの責任問題だとしていたら、ロシアンルーレットのようにいつか必ず「責任」を取らされることになる情報セキュリティ責任者のなり手は、おそらくいなくなるだろうと思います。

重要なのは、情報セキュリティに知見のある人物が、権限を持って組織をリードし、顧客や社外に明確に説明できる情報セキュリティ対策を実行し、継続して改善を推進することです。事件や事故が起こるたびに責任者が辞任するのでは、組織が混乱するだけで、余計に脆弱になる可能性さえあります。

マスコミや、いわゆる識者と呼ばれる人たちは、多くの場合結果論だけで評価します。問題が発生したのだから、「問題がない」とは言わないでしょう。あとから批判されたくなくて辞めるかどうかは、会社や責任者本人の判断です。しかしわたし個人は、自社が行ってきた取組みをきちんと外部に説明する責任を果たせるよう努めてきたのなら、短絡的に辞任という判断につなげてほしくはありません。特に大手がそういう判断をすると、「事件発生＝辞任」という悪しき前例になりかねません。

また、経営者は、情報セキュリティの対策に十分な関心を普段から寄せているでしょうか。そろそろ経営者には部下に対して、「うちの会社は大丈夫か」と聞くのではなく、「うちの会社はどう対応しているのか」と聞いてほしいと、常々思っています。