秘密保護の仕組みを考えながら、ベネッセコーポレーションの個人情報大量流出事件を考えている。

　ベネッセから大量の個人情報が流出し、名簿業者を経由して、あちこちに売られていた。ベネッセは、
顧客に指摘されるまで、大量流出に気づかなかった。

　これだけでも、一体、どういう管理体制になっているんだ、と言いたくなる。

　が、この事件の記事を検索していてもっと驚いたのは、ベネッセ内部で問題が発覚した後も、約２千
万件の顧客情報が持ち出されていたことだ（2014.7.18付朝日新聞）。

　その手法は、当時、システムエンジニアだった被疑者が、ベネッセの子会社の事業所内で、業務を
装ってデータベースから約２千万件の顧客情報をダウンロードし、自分のスマートフォンに内臓された
マイクロSDカードに転送したというもの。

　この手法は大量流出事件の基本的なパターン。大量な個人情報を扱う会社では、基本的な予防対
策（私物のスマートフォンやUSBメモリーなどの作業室への持込禁止など）を立て、日々、確実に実行
する必要がある。きわめて原則的な対策だ。

　これがベネッセの子会社では実行されていなかった。ベネッセは、子会社に対して、大量の顧客情
報を扱う場に、私物のスマートフォンを持ち込むことを禁止していなかったのか。禁止していたのだ
とすれば、ベネッセは、禁止が実行されていることをどのように確認していたのか。禁止は形式だけ
で、おそらく確認をしていなかったのだろう。

　しかも、大量流出が社内でわかった後でも、このような大量持ち出しができてしまったというのは、
なんと管理の甘いことか。それまでに流出している以上の顧客情報の流出を防ぐための対策が即座
にとられていない。
　盗み出した者が悪いにしても、その人を処罰すれば、今後、同様の事件が再発しないということに
はならない。
　顧客は盗み出した元ＳＥなんか知らないし、その人が「まさか、そんなことをするとは」と信頼してい
たわけではない。顧客は、ベネッセという会社はちゃんとした会社で、責任をもってしっかり管理して
くれる、と信じていたのだ。ベネッセは、その信頼を裏切ったのだ。被害者ではない。ベネッセはむし
ろ、加害者に近い。

　このような事件をきっかけに、情報を盗み出した者やその関係者の処罰を重くしろとなるとすれば、
それはずれている。というか、本末転倒だ。ルーズな管理の検証と実行可能な現実的な改善こそが
必須なのだ。