個人情報を軽視する悪の構図?ベネッセVS.ジャストシステム
ベネッセグループでITインフラを担当しているのはシンフォーム(社長:田中隆章)という子会社だ。情報システム部門を子会社化することは少なくない。
ISMSはこの子会社が認証を取得している。しかし、認証取得先はBSIジャパンという不適合をなかなか出さないことで有名な審査機関だから面倒だ。
http://www.isms.jipdec.or.jp/lst/ind/CR_IS_x0020_73710.html
2003年の初回登録だから既に10年以上も甘い審査を受けてきたので相当の改善機会を喪失してきただろうと想像できる。
グループ企業内のIT専門集団のはずが実態は業務委託/派遣社員で仕事を済ませているので重要情報は内部プロセスに留めたいとするグループ経営陣の思惑は簡単に踏みにじられている。変わりに徹底した委託先/派遣社員管理がやられている確証も無い。
今回はニュースの続報でもう少し実態が明るみに出てきている。松崎正臣容疑者は派遣社員でそのリーダー格であったこと。借金などで金に困っていたこと。データはスマホを使って持ち出したこと。不正取得は半年間に及んだことなどだ。
原田泳幸社長は会社としては正しく振る舞い悪いのは外部のものだと言っていたが経産省から被害者か加害者か聞かれて加害者と答えていtがその理由は顧客や社会に迷惑を掛けたからとしていた。セキュリティ管理上の役割責任を十分果たしていなかったことへの言及は思いも付かなかったのだろう。
- スマートフォンのリスクアセスメント不十分。BSIジャパンはリスクアセスメントを軽視する傾向が強かったが、前回の規格改定を都合よく解釈してますます疎かにしていたのではないか。
- スマートフォンの発展は日進月歩。最初のiPhone出現時に評価して済ましていたら全く実態と乖離したリスク理解になる。ベネッセの事件がまさに其の典型事例になったのだろうか。
- スマートフォンにはカメラもマイクもUSBストレージも付いていてワイヤレス通信も出来るパソコン以上の厄介なもの(裏返せば便利なもの)だが、持込を許可していたのには驚く。外部の人間が私用パソコンを持ち込んでいる図式でそれを許可していた。ISMS担当者の怠慢と言われても使用がないだろう。仮に持ち込み許可なら監視アプリを入れるとか定期的に(不意打ちも含めて)チェックする施策が必要だったはずだ。名にもやっていなければISMS担当は失格だろう。社員は悪くないと原田社長は主張したとしても世間の目では十分悪い。
- 米国ではBYODとして個人用デバイスの業務利用が進められているが、其の場合のセキュリティ確保策がいくつも提示されている。日本でも先行して取り組んでいる企業があるのに、そういう事例を参考にしていれば今回の事件は無かった。出来心へのけん制が重要。後で頑張っても情報が流出した後では如何しようもないでしょう。
- 今回はUSB接続をしたらストレージとして認識されたと供述しているが、USB接続をブロックするツールに穴が開いていたことになる。適切なバージョンアップをやっていたか疑問。またパソコンのシステムログにダウンロードの記録、接続の記録が残っていたはずだが、これも定期的にチェックする仕組みが機能していなければ意味が無い。
- サーバー側のログについても同様だ。特定のIDで半年間に渡りダウンロードが繰り返されていてもそれをチェックする仕組みが働いていなければ意味が無い。ISMS担当は何をやっていたんだろう。容疑者がリーダー格だからほとんどフリーパスにしていたのか。其の場合は特権者に対する管理策が有効でなければ行けない。
- 派遣社員に限らないが重要業務では担当者へのメンタルケアも重要だが、シンフォーム側の管理者によるメタルケアの記録とレポートはどうなっていただろう。そっもそもメンタルケアが必要かどうかさえ理解していなかっただろうか。どこにも書いてないし審査機関が言わないからやってませんということか。時間効率最優先の審査機関は大事なことは何も言わない?。
- アカウントとパスワードの管理にも疑問がわく。個人の特定に時間が掛かりすぎていたからだ。派遣社員に付与するアカウントはリーダーに任せていたのではないか。もしくは派遣を括って共有パスワードで運用していなかったか。
- 派遣の場合に面倒なのは派遣元へのレポートなど諸連絡手段に関する取り決め。ここでセキュリティに穴が開く可能性がある。管理策で明確にしていなかったか。この辺が手抜きだと舐められる。この会社のISMSはたいしたこと無いとなる訳だ。
ベネッセとシンフォームの関係も重要だ。IT機能を別会社にする場合のガバナンスの取り方。意味のある管理基準なり管理目標が設定されていたか。IT監査が適切に実施されていたか。まさか外部のISMS審査で代用などしていなかったか。BSIジャパンなどは只の営利会社に過ぎない。無難にこなせばいいと思っているかもしれない。
シンフォームの経営陣は今では自分の会社が一流のセキュリティでなかったことに気付いただろう。そのシンフォームが10年間でISMS審査の不適合を何件もらったかカウントしてみればいい。30件有ったとしても特別多いわけではない。それが極端に少なかったら?。手抜き審査か無能審査かだ。観察事項だけ並べてお茶を濁す審査に高い審査料を払ってきたとも言えるが、審査料よりも不適切審査による実質的な損害(社会的信頼の喪失)の方がはるかに問題だ。
事件を起こしたベネッセは臨時審査に追い込まれるだろうが、審査機関にもレビューしてもらいたいね。何故、適切な指摘をしてくれなかったのか。コンサルは要らないが問題は問題として指摘すべきだろう。サンプリングだからと誤魔化すが、10年やっていて毎年外しているなら意図的に不適切なサンプリングかもしれない。
BSIジャパンの審査など10年受けていても全然意味が無いという証になるだろうか。甘い馴れ合いの審査は担当者は楽が出来る。今回の審査結果はOKでしたと報告すれば上の覚えも目出度い。経営者は裸の王様状態だ。丸裸なのに良くお似合いですと言われているようなものだ。
虎の子の個人情報を保有しておいて、ダミーデータを入れていなかったみたいだ。だから外部の顧客筋の指摘を受けるまで気付かないと言う不始末。1%前後のダミーを入れてアクセスがあれば流出検知が即座に出来るようにするものだろう。
※
ビックリ!
ベネッセの役員を見ていたら驚いた。例の医薬情報捏造していたノバルティスファーマの経営陣(三谷宏幸)が入り込んでいる。情報操作して偽情報でもって莫大な利益を上げて今尚国庫に返還することもしていないノバルティス社の経営陣?。ノバルティスがベネッセの株主なのか?。特別な関係が無ければ社外取締役に迎える相手ではないだろう。アンフェアな企業のトップを教育事業会社の社外取締役に据える感覚は非常識以下ではないか?。
※
ジャストシステムはスマイルゼミでは事業拡大のために平気で名簿屋を使っている。今回発覚する以前から名簿屋を使っていた様子が窺い知れる。最初から胡散臭いビジネス展開だったのではないか。名簿屋を使う企業は盗品かもしれないものを買う企業と同じ。自分で盗んでいなければ無罪と信じているみたいだ。不正に加担していないことを自ら明らかにする必要がある。
こういう会社がいるから情報が盗まれるのだ。こういう会社が払う金が結局は闇の犯罪者に流れる。ジャストシステムのような会社が犯罪者を産み育てているといっても過言ではないだろう。
ベネッセ(シンフォーム)のISMSは最低だが、もっと悪いのはジャストシステム。この会社が胡散臭い情報に金を払うから悪事がまかり通るのだ。ジャストシステムの経営陣が社会的責任を感じて記者会見で謝罪する話がどこにも無い。
英会話のECCも似た状況だが、名簿屋を利用しないと宣言した。其のことは立派だ。ジャストシステムはそれも無い。どういうことだろう。
※
会社のISMSが上出来でない時も、審査機関に問題があれば、不適合指摘はありません。もし論、本当に優秀な場合も不適合の指摘は出てきません。審査機関、審査員によって指摘事項には偏りがあります。一旦最適化すると不適合は出ませんが、問題がないとは言い切れません。癒着審査。審査機関を3年で変えることをお勧めします。
3年間、不適合ゼロだったら無能審査手抜き審査と決め付けていいでしょう。
もっとも難癖みたいな指摘も多いので、審査にも其のレビューにも十分時間を掛けることが必要。効率最優先の利益追求型の審査機関は鼻から不適切な存在です。
※