2004年に発生したソフトバンクの個人情報漏洩事件に次いで、様々な文献で事例として語り継がれることになるであろう、ベネッセの大規模個人情報漏洩事件。

管理委託の外部業者が個人情報流出か(NHKオンライン)
nhkbenesseベネッセコーポレーションの通信教育サービスを利用している顧客の子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したもので、流出した個人情報は最大でおよそ2070万件に上る可能性があるとみられています。
警視庁は、企業の営業秘密に当たる顧客の個人情報を何者かが外部に流出させたとみて、不正競争防止法違反の疑いで捜査していますが、顧客データベースの保守管理は本社から委託を受けたベネッセのグループ会社が、外部の業者に再委託していたことが警視庁などへの取材で分かりました。
データベースへのアクセス権限は、業者の中でも一部の担当者にしか与えられていなかったということです。
ベネッセによりますと、データベースに不正にアクセスされた形跡はないということで、警視庁は、こうした外部業者の担当者が情報を記憶媒体にコピーするなどして持ち出し、流出させた疑いがあるとみて調べています。

IPAの「組織内部者の不正行為による インシデント調査 − 調査報告書 − 」にも記載されているとおり、個人情報漏洩事件のほんどは外部からの攻撃である一方で、今回のような業務委託先を含む内部関係者の不正行為による漏洩事件となると、防止・発見が難しいことと相まって被害人数が多くなるという特色があります。

パーソナルデータ検討会以降、個人情報保護法が今後どう変わるかばかりを気にして浮足立っていたところがありますが、今回ベネッセに起こっていることを他山の石とし、そもそも自社が現行法を順守できているのかを改めて見直す機会としたいところ。その参考となりそうな新刊をご紹介したいと思います。


情報セキュリティ管理の法務と実務
野村総合研究所・浅井国際法律事務所
きんざい
2014-05-12




本書は、そのタイトルに忠実に、情報セキュリティに関わる法令上の義務を概説する「法務編」と、その義務を果たすために具体的に何をやるべきかをまとめた「実務編」に大きく二分されており、そのどちらも秀逸な出来となっています。

前半の「法務編」は、カバーする法令の網羅性に加えて、金融機関に求められる法的義務に目線を合わせているところが特徴となっています。その心は、
企業における情報セキュリティに関する法規制のほか、最先端の情報セキュリティが確立している金融機関に関する法規制や金融機関の取り組みを多数紹介しているが、これは、当該法規制や当該取組みがBtoC取引に携る一般事業会社にとっても実務上参考になると考えたからである。
(巻頭言より)
というもの。

・個人情報保護法 
・不正競争防止法 
・経済産業省告示 ーソフトウェア等脆弱性関連情報取扱基準(平成16年経産省告示第235号)
 ー情報システム安全対策基準(平成7年通産省告示第518号)
 ーコンピュータ不正アクセス対策基準(平成8年通産省告示第362号)
 ーコンピュータウイルス対策基準(平成7年通産省告示第429号)
 ーソフトウェア管理ガイドライン(平成7年公表)
・会社法 ー内部統制システム構築義務(362条4項6号、会社法施行規則100条)
・刑法 ー窃盗罪(235条)
 ー私文書毀棄罪(259条)
 ー建造物侵入罪(130条)
 ー器物損壊罪(261条)
 ー背任罪(247条)
 ー偽計業務妨害罪・威力業務妨害罪(233条・234条)
 ー不正指令電磁的記録に関する罪(168条の2および3)
 ー電子計算機損壊等業務妨害罪(234条の2)
 ー電子計算機使用詐欺罪(246条の2)
 ー電磁的記録不正作出・供用罪(161条の2)
 ー支払い用・預貯金引き出し用カードに関する罪(163条の2ないし4)
・不正アクセス禁止法 ーアクセス権限のないコンピュータを利用する行為の禁止(2条4項)
 ー他人のパスワード等を不正に取得・保管する行為の禁止(4条・6条)
 ーフィッシング行為の禁止(7条)
 ーアクセス管理者による防御措置構築に関する努力義務(8条)

といった、どの企業にも関係する法規制について網羅的に概説しながらも、金融機関における情報セキュリティ規制を定める
・金融商品取引法
・銀行法施行規則
・金融検査マニュアル
・金融分野における個人情報に関するガイドライン
・中小・地域金融機関向けの総合的な監督指針
そしてさらには、
・電気通信事業法と総務省ガイドライン(通信履歴・発信者情報・位置情報)
・番号(マイナンバー)法
・ISMS・Pマーク等の認証制度
・行政機関における情報の取扱に関する規制
まで取り上げます。またこれにあわせて、金融機関において発生したセキュリティ事件に関する判例が多く紹介されています。ベネッセ事件との絡みでは、特に安全管理義務や外部委託先管理責任について、金融機関に求められているレベルを知っておいて損はないでしょう。

s-IMG_3964


後半の実務編は、
・情報セキュリティの組織・体制・ルール
・従業員管理・教育訓練
・情報資産/施設・環境/端末・媒体/ネットワークごとのセキュリティ対策
・セキュリティ監査
・グループ管理
ごとに、章を分けて解説。

委託先管理という観点でやはり最近気になるのは、既に水・電気の如く必要不可欠な存在となってしまったクラウドサービスの存在。クラウドベンダー側に確認すべき事項がまとまっているところなどは、最新刊ならではの読みどころです。

s-IMG_3966


漏洩の規模もさることながら、謝罪会見において「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」と頭ごなしに賠償責任を否定した同社のスタンスや、名簿屋を通じてジャストシステムが当該情報を購入していたことの是非についても議論が波及、さらには大臣が情報の消去義務について個人情報保護法改正の必要性に言及するまでに発展している同事件。被害を受けている方にとっては不謹慎な物言いとなってしまいますが、企業法務パーソンにとっては格好の学習・反省材料ともなりそうです。
 

参考:

▼内部関係者による情報漏えいを繰り返さないためにできること(@IT)
http://www.atmarkit.co.jp/ait/articles/1407/11/news158.html