Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ベネッセ、売却対象となった個人情報はのべ約2億1639万件

原因については、システムの開発と運用を行っているグループ会社のシンフォームにおいて、不正行為に対するアラートシステムの範囲が明確ではなく機能しなかったことや、外部メディアへのデータ書き出しを制御するシステムが機能しなかったことを挙げた。データベースへのアクセス権限や、データベース内の情報について、適切な管理が行われていなかったとしている。

さらに、ベネッセグループ全体の情報セキュリティを統括的に管理する部署が存在せず、責任者も明確ではなかったと指摘。個人情報管理の責任部門も不明確だった。

役職員の多くは、従業員の情報セキュリティレベルについて過信しており、内部の人間が個人情報を不正に持ち出すことはあり得ないという意識を持っていたことから、内部犯行を想定した体制を構築せず、結果的に不正行為を許すことになった可能性があると指摘している。

同社では今回の調査報告を受け、管理体制の見直しや組織改革に取り組むと説明。データベースの管理はベネッセホールディングス、データベースの利用はグループ内の各事業会社、データベースの保守、運用はラックとあらたに設立する合弁会社が担当するなど機能を切り離し、権限や責任を明確化を図る。

(Security NEXT - 2014/09/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

日本年金機構の個人情報漏洩に便乗する「個人情報削除詐欺」へ警戒を
ベネッセの委託先コールセンターから顧客情報が流出 - 書き写して持出
ベネッセ、個人情報保護の改善報告書を経産省に提出
ベネッセHD、「情報セキュリティ監視委員会」を設置
経産省、個人情報保護法違反でベネッセに勧告
売却されたベネッセ顧客情報は約3504万件 - コピー禁止が新型スマホで機能せず
子どもや保護者の個人情報約760万件の漏洩を確認、最大2070万件 - ベネッセ
ベネッセの委託先元従業員が起訴 - ベネッセ「進展見守っている」
ジャストシステム、名簿業者から購入したベネッセ顧客リストを削除
ジャストシステム、出所不明名簿257万件の購入認める - 「道義的責任から全データ削除する」