個人情報保護法が施行されて以来「個人情報ですのでお教えできません」などとよく言われるようになりました。個人情報保護法の施行以前にはよく覚えの無い業者からDMがよく届いていましたが最近はめっきり無くなりました。
先日ジャストシステム社が今回入手したベネッセのデータを削除することにベネッセ側が「捜査上問題がある」というコメントを出しました。今問題なのはベネッセ側であるのにジャストシステム側に文句を言う責任転嫁的な発言に驚きを感じました。今回の件はジャスト社は善意の第三者で違法性はありません。捜査上のデータは名簿業者や漏洩元のベネッセの関連会社にあるはずです、通常業者は念のためにコピーを置いています。マスコミも違和感を感じて報道したのでしょう。
システム側から見るとデータベースへのアクセス権対象者が多いことに驚きました。おそらくブランドが多いのでDMなどの販促ごとにデータ抽出していたのでしょう。心理的に直接データにアクセスできると言う感覚とアクセスできる人数が多い時には漏洩してもわからないと言う感覚に陥りやすくなります。直接データにアクセスできる人数は少ないほどリスク低減になります。
以前の会社ではデータ管理者(直接アクセスできる者)が各ブランド販促担当者の要求データにダミーを入れてデータを渡していました。漏洩の時にはダミーによっていち早く察知できます。ISMSやプライバシーマークなどの色んなルールがありますがそのルールを守っても情報漏洩はあります。ルールより漏洩させないという高い意識が重要です、その点では公共機関、銀行関連ではプライバシーマーク、ISMSなどは取得していない所が多いようです。
【2014/07/24】追記
ベネッセ個人情報流出、約2260万件の持ち出し判明、非会員の情報も流出 カード情報も漏れた恐れ
ベネッセは通信販売会社として個人情報管理ができていないと言わざるを得ない状況です。経産省からの指摘にもありましたが 「なぜ数ヶ月もわからなかったのか」 、ベネッセのデータ管理手法がうわべだけだったと言うことになります。この部分は費用をかけてどうなるものではなく情報管理役員の能力によります。今後も不祥事がでるようであれば経営に重大な影響を与えると思われます。
- 関連記事
-
