不作為は「罪」──ベネッセの個人情報漏洩事件から、セキュリティにおける発注者・受注者の責務を考える

“不作為”は「罪」

　これらはすべて、ベンダーかユーザーかという立場を問わず、「想定されるリスクに対して合理的に備えられていたか」「リスクを軽視せず能動的に管理していたか」という、情報ガバナンスの基本的な視点から評価されるべき事項です。

　残念ながら、この事件の当事者においては、共にこうしたことが十分になされていなかったと言わざるをえません。もちろん、どちらの会社にしてもまったくセキュリティについて無頓着ではなかったかと思いますが、それでもこうした事件が発生してしまったということは、その点、複数の不備があったのだろうと推測されます。

　では、読者の皆さまの組織はどうでしょうか。前述したようなセキュリティリスクへの備えは十分でしょうか。一度、情報保護に関する社内プロセスや、実際のプロジェクトを再確認してみてもよいかもしれません。

　大切なことは、まず日々進化する情報漏洩の手口とその対策を継続的に学び、それによって自組織に起き得る事象を予測することです。スマートフォンが普及し、パソコン側にはMTPモードがあってデータ転送が簡単に行える状態であったことは、当時の技術者や情報処理関係者であれば容易に気付けたはずです。ベネッセはIT企業ではありませんが、社内の人間、たとえば情報システム部門の者であれば、簡単に想定できたリスクだったでしょう。

　しかし、それに対して十分な対策を講じなかった。「MTPモードを使えなくする」という、ごく簡単な設定と運用管理者のアクセス権制御といった、冷静になれば誰もが思いつくであろう対策を打てなかったことは、個人情報を取り扱う業者としていかにも不適当でした。「怠慢」といってもよいでしょう。このことは、ベネッセにしてもシンフォームにしても同じだと私は思います。「できたのにやっていなかった」「知っていたはずなのに見過ごしていた」というのが実態だったであろうこの事件を一言で要約するなら、「不作為は罪」ということになるのかもしれません。