ベネッセが国内最大級の個人情報流出事件を起こしたのは皆さん御存知のことと思いますが、これについて現在までに判っている範囲内で思うことを書いてみたいと思います。
まずは、情報セキュリティ的に問題はなかったのかという点についてですが、「システム的には問題なかった」という事が言えるでしょう。某SNSでも「情報セキュリティ的に問題があったのではないか」と聞かれましたが、「問題はなかった」と回答しておきました。聞いてきた方は不満げでしたが、以下の理由により「問題はなかった」と言えます。
それは、システム的な欠陥を突かれて情報流出したわけではないと言うことが一番の理由です。システム的な欠陥を突かれたのなら「システム的に問題があった」という事になりますが、適切にログの取得も出来ており、そのログに基づき犯人の特定が出来ていること、かつ、脆弱性等を突かれたわけではないと言うことを鑑みると、「システム的には問題なかった」と言えます。
では、何が問題だったのでしょうか?
それは、「運用が問題だった」という一言に尽きます。雇用形態がどうであれ(そこは大きな問題ではない)、センシティブな情報に多くの人間がアクセス出来、それを外部メディアに出力可能な状態に置いていたという「運用が問題だった」と言えます。一般的に、センシティブな情報に対してはアクセス可能な人間を絞り込むものであり、かつ、外部メディアへの出力は規制するものです。それをしていなかったのは、明確にベネッセの瑕疵であると言えます。
雇用形態や多重下請けと言うことを問題視される方もいらっしゃいますが、そこは大きな問題ではなく、先に述べた通り「適切な運用をされていなかった」ことが大問題だと言うことです。
情報システムを導入する場合に「システムをどうするのか」と同時に「運用をどうするのか」を同時に考えなければならないのですが、後者は軽視されているのが実態です。今回も、システム構築時に運用を考えなかった為に、適切な運用が出来ないまま来たものだと推測されます。実は、情報システムを導入する際に最も重要になるのは「運用をどうするのか」であり、ここを考えないシステムは導入した後に必ず問題を生じるものであると考えた方が宜しいでしょう。
今回の事件は、運用の大切さを思い知らされた事件であると思います。