2014年7月18日金曜日

情報漏洩

先日ベネッセの顧客データが名簿業者に直接漏洩していた事件があった。
システムログから直接犯人が判明しているのはあるものの正直こんなの氷山の一角なんでしょうね。

個人情報といろいろなところで叫ばれるようになって14、5年。情報業界では2000年問題の次ぐらいに訪れたイベントだったのではないでしょうかね。
大手企業ではISOやプライバシーマークを名刺に入れるようになったりと賑やかだったと記憶しています。

それまでにも情報漏洩に関しては金融情報ではかなり意識はされていましたけど、実際に漏洩対策を取り入れれば取り入れるほどシステム開発ではどんどんと見えない足枷でしかありませんでした。
開発フェーズでは単純な帳票であっても実データでテストができず、導入フェーズでようやくまともなテストができるというなんとも途方もなく無駄な時間が浪費されていた記憶しかありません。

過去のデータを移行するシステムだとさらに問題は膨れ上がります。

システム規模が膨らめば膨らむほどデータ量も増え、またシステムも分割されどんどんと複雑に

かなり話が脱線してしまいましたが…(笑)

本題に戻すと顧客データの漏洩なんて教育出版業界だけではなく、公官庁や保険業界が主な流出もとだとおもいます。

経験が一番あるのは転出、転入届しか出していないのに勝手に保険の住所変更がされていたり、塾やベネッセの進研ゼミの勧誘があります。

公官庁はあまり明るくはありませんが、昔の保険業界は本当にひどいものです。
個人情報に関して意識レベルが上がっているので昔ほど安易に名簿として出回ってはいないとは思いますが、結果は情報単価が上がるだけで流通そのものは絶対に止まっていないと思います。

今回の場合は派遣社員が起こしたものですが、システムに近い人間が行っていたらシステムログに記録が残らないように行ったりすることも可能ですし、何よりバックアップデータは少なくても複数存在することから運用管理を司るものであればそんなに難しい話ではないと思います。

運用管理会社であればそういう前提のもとに物理的なセキュリティーがしっかりとしているように見せかけるかもしれませんが、着衣をすべて脱ぎ出はいりするなどといったことを行わない限り不可能ではないでしょう。
さらにレントゲンなどで体内までチェックしなければ確実とはいえないでしょう。

そもそも空港などでも容易に密輸ができてしまう現状を考えれば物理的には何をやっても意味はないのでしょうね。

今回の事件は今まで公官庁や保険業界からの漏洩問題があまり大きく取り上げられていないのと比べ目立ったので気になりました。

0 件のコメント:

コメントを投稿