武田圭史慶大教授に「ベネッセ問題」を聞く(前編)
ベネッセの個人情報流出事件を取り上げたインタビュー記事。
「日経新聞の報道などによれば、データベースが不正閲覧されたのは、シンフォーム東京支社の部屋で、一般社員の立ち入りが厳しく制限されていたとのことですから、ある程度、個人情報の重要性を踏まえて、管理していたのだと思われます。ただ、データはパソコンのUSBポートを経由して、記憶媒体(スマートフォン)にコピーして持ち出されたのですからデータの持ち出しについての管理が十分ではなく、甘さがあったことは事実でしょう。」
「これまで日本は労働形態が家族的というか、終身雇用を前提にしていましたが、最近は環境が変わってきています。だからこそ、内部犯行の対策もしないといけません。内部犯行をできない環境にすることによって、「そこで働く人を守る」のです。甘い誘惑にフラフラと乗ってしまわないように、「きちんと管理していますよ」という姿勢を見せることで、内部犯行を抑止することがとても重要です。」
このあたりは、情報セキュリティに限らず、会計不正防止についても同じことがいえそうです。
また、管理は整備だけでなく運用が重要だそうです。
「ログ管理や監視カメラの導入で、とても重要なのが「定期的に記録をチェックして、問題がありそうなアクセスがあったかを実際に確認する」ことです。これが極めて大きな抑止効果になります。
今回の事件でも、不正アクセスをしたSEがデータを盗み出したのは昨年末ということですから、今回発覚するまでに半年以上かかっています。その間に、個人情報は複数の名簿業者を経ていたわけです。日常的に、ログをチェックしていたら、早期に不正アクセスに気付き、何らかの対策が取れていた可能性が高いわけです。名簿業者に持ち込まれる前、もしくは名簿業者間でデータが転々とする前に、対策が打てた可能性があるわけです。
もっとも、いつも定期的にログのチェックをしていない企業は多くあります。そういった意味では、どの企業にも危険は潜んでいるわけです。システムは運用がとても大切です。ログをとっていても、監視カメラを導入していても、ただ、やっているだけは十分ではないのです。」
逮捕のSE、妻病気で借金増 生活苦から犯行か(産経)
「顧客情報のコピーについては、「セキュリティーが厳しくてできないと思っていたが、偶然欠陥を見つけた」などと供述していることも判明。昨年7月に顧客情報を持ち出し始める直前、DBを管理するパソコンにスマートフォン(高機能携帯電話)が接続できることを偶然発見し、別のファイルがコピーできることを確認した上で顧客情報を持ち出し始めたという。」
最近の「内部統制」カテゴリーもっと見る
会計ニュース・コレクター(小石川経理研究所)
経理や会計監査にかかわるニュースを集めます。
PHOTO
会計士がつくる会計と監査のページ。新着情報はhttps://twitter.com/kaikeinews でお知らせしています。
最近の記事
カテゴリー
バックナンバー
2000年
人気記事
