- 会員限定
- 2014/07/23 掲載
ベネッセの顧客情報流出から派生する問題、ビッグデータ活用の法改正への影響とは
ビッグデータ利活用の議論が活発化
アベノミクスが掲げる3本の矢のひとつに「民間投資を喚起する成長戦略」がある。これに関してIT業界が注目しているのがビッグデータ利活用による市場創出など経済の活性化だ。企業側は、今後のIT戦略、とくに国際市場でのビジネスを考え、ビッグデータの利活用をビジネスチャンスとして、個人情報保護法の改正を含んだ動きに期待をかけている。
これに対してセキュリティの専門家や法律家などから、歯止めのないパーソナルデータの活用はプライバシーや人権問題につながり、国際的に通用する基準や規制がないと海外の情報を利用できず、国内の情報を一方的に利用されるだけとなるなど問題を指摘する声も上がっている。
政府は、成長戦略のひとつとしてビッグデータ活用を掲げており、19日に発表した制度見直しに関する大綱案では、個人特定を低減したデータは当事者の許諾なしに取引をできるようにするが、どのレベルを低減データとするのか、どんな情報を保護対象とすべきかなどの指針は示さず、独立した第三者機関に委ねる先送りともとれる内容となっている。そして、現在、パブリックコメントを募っているところだ。
世間を大きく騒がせた、ベネッセの顧客情報流出事件
先日、これらの問題に深く関わり得るような大事件が発生した。7月9日、ベネッセは、同社保有の760万件の顧客情報が外部に漏れたことを発表。その後、流出した名簿を利用した企業、名簿を販売した名簿業者らに関する報道は周知のとおりだ。
しかし筆者は、技術的な面や悪意の有無にかかわらず、どんなデータベースでも発生し得るインシデントであり、今後の法規制にも影響しかねないと考えている。
技術的には運用ポリシーや内部統制の問題
まず、純粋に技術的な視点から名簿流出問題を見てみよう。9日のベネッセの発表ではすでに、漏えいは不正アクセスやハッキングではなくデータにアクセスできる外部(グループ企業ではないという意味)の者による犯行を示唆している。今回の事件ではベネッセは被害者でもあるわけだが(被害届を出し捜査が始まっている)、これはいわば内部犯行に分類してもよい問題であり、管理責任やデータベースの運用体制に疑問が生じる部分だ。
詳細は捜査に影響したり、セキュリティ上の問題でもあるため公表できないだろうが、重要な顧客情報(ベネッセコーポレーションはPマークを取得している)のアクセス権限の運用次第では、漏えいの管理責任は免れないだろう。正規のPCでUSBに複数回に分けてコピーされたという報道もある。名簿のような重要データについて、USBなど外部デバイスへのコピーを許可していたのだろうか。このような運用ポリシーでは、データのコピーはもっと広範に行われていても不思議はない。
【次ページ】ビッグデータ利活用の議論に及ぶ影響とは?
関連コンテンツ
PR
PR
PR