これではデータの大量漏えいは防げない
毎日新聞の記事
≪通信教育大手ベネッセホールディングス(岡山市)の顧客情報漏えい問題で、グループ企業
から顧客データベースの管理を再委託されていた保守管理会社の関係者が昨年、大量の顧客
情報をダウンロードした履歴がベネッセのサーバーに残されていたことが関係者への取材でわ
かった。顧客情報はその後、USBメモリーなどの記憶媒体にコピーされ、名簿業者に売却され
たとみられる。≫
≪データベースへのアクセスに必要なIDやパスワードは、ベネッセやシンフォームなどのグル
ープ企業だけでなく再委託先の外部業者にも担当者ごとに与えられていたという。情報流出が
発覚した6月26日以降、ベネッセ側が内部調査を進めたところ、再委託先のある担当者が、付
与されたIDとパスワードを使ってデータベースにアクセスし、顧客情報をダウンロードした履歴
があった。いったんパソコンにダウンロードした上で記憶媒体にコピーし、外部に持ち出したとみ
られる。≫
ベネッセは、再委託先の従業員にもIDが与えられパスワードを使ってデータベースにアクセス
できるようにしていた。
それなのに、ベネッセには
顧客情報を大量にダウンロードしても、その行為自体を監視する仕組みがない
顧客情報がどのようにダウンロードされているかを日々チェックする仕組みがない
これでは、アクセス権限さえあれば情報は持ち出し自由と変わらない。同じような被害がこれか
らもいつ起こってもおかしくない。