先の7月に、当ブログにベネッセのインサイダー攻撃に関して掲載しました。その時点では、最高1020万人分の子供の個人情報が盗まれたと考えられていました。それから2か月たった今、実際はさらに憂慮すべき事態だったことが分かってきました。
ベネッセの被ったダメージはすでに相当なものでしたが、インサイダー攻撃による損失は財政的、運営的、組織的にも重くのしかかり続けています。
財政的事実
- 流出した顧客情報数: 事件発覚当初1,020万件。
現在判明している流出件数は2,895万件にのぼる。
- 7月の株価下落率 8% → さらに下落し約19%の下落となった。約70万ドル近くが失われたと考えられる。
- 当初200億円を原資として補償費用を確保。 顧客への保証として500円分の金券を配布するため、実際は約144億円ていどになる見通し。
ベネッセ社は情報セキュリティ対策費として260億円の特別損失の計上を予定し、第1四半期に136億円の純損失となり、今回の攻撃への補償のための原資と損失査定が経営に重くのしかかっています。
防止策
インサイダー攻撃が起きた当時、ベネッセ社はITサービスプロバイダーをデータベース管理会社として使い、そこで雇用されていたシステムエンジニアが犯行に及びました。今回の事件を受けて、ベネッセ社は顧客データの操作を今後外部には委託しないことを決めました。情報セキュリティサービス会社と新たに合弁会社を設立し、新会社がデータベースシステムのメンテナンスと操作を行うとしています。
組織改革
ベネッセ社は経済産業省より直接指示を受け、さらに菅官房長官は個人情報保護法の回答も検討せねばならないと語りました。ベネッセ社は早急な対応を迫られ、情報管理の担当役員CISO(Chief Information Security Office)とCLO(Chief Legal Officer)を新たに設置することを発表しました。
まとめ
金銭的な損失が大きな打撃であることはもちろんですが、盗まれた顧客情報がもし名簿業者に売る目的だけでなく、悪意ある攻撃に使用されていたとしたら、事態はもっと悪いことになっていたでしょう。ベネッセ社は至らなかった点を調査し、顧客データ管理の外部委託をやめ、セキュリティとコンプライアンスの担当役員を設けました。これは賞賛すべきことです。しかし、データ侵害がさらなるコストが生まれ、新たな情報ガバナンスポリシーが策定され、テクノロジーを統合して運営の流動性を守り、実行されるまでの間ビジネスの中断を招いてしまうのです。
もし、アダプティブ リダクション機能があったなら、犯人が盗んだ2,800万件以上にもおよぶデータの持ち出しを止められたかもしれません。情報を直接コピーし、添付ファイルに隠したり、実行ファイルの中に埋め込もうとしても、クリアスウィフトのアダプティブリダクション機能が機密情報コンテンツを置き換え、犯人のスマートフォンにはなんの価値もない‘***’が残されていたでしょう。そうすれば、ベネッセ社は、顧客データへの攻撃一件のために144億円(かそれ以上)も費やさずにすんだことでしょう。