ベネッセ、高セキュリティのDB保守・運用会社を新設、ラックと合弁で

　株式会社ベネッセコーポレーションは10日、同社の顧客情報が業務委託先の元社員によって持ち出されて流出していた件について、事故調査委員会などが経緯・原因などを調査した結果を公表した。あわせて、データベースを安全に保守・運用するための新会社を設立することも明らかにした。

　事故調査委員会の指摘を受け、ベネッセでは、「弊社としての根本的な問題は、自社の情報セキュリティに関する過信、経営層を含むITリテラシーの不足、性善説に立った監査、監視態勢の運用などの企業風土に起因する甘さにあると判断した」としている。いくつかのセキュリティ上の不備が存在していたため、悪意を持った内部犯行者に顧客情報の大量に持ち出しを許してしまったという。

　具体的には、業務用PCに導入していた外部メディアへのデータ書き出し制限機能において、一部新機種のスマートフォンに対応しておらず、元社員の私物スマートフォンへのデータの書き出しに悪用されてしまったことや、データベースのアクセスログは自動的に記録していたものの、その記録を定期的にモニタリングしてチェックしていなかったことなどを挙げている。

　再発防止のための緊急対策として、アクセス権限の見直しや大量データをダウンロードする際のアラート機能の設置、アクセスログの監視設定の強化、監視カメラの導入などを挙げるとともに、ベネッセグループ全体における情報管理体制の改革も発表した。

　今後、すべてのデータベースの管理は株式会社ベネッセホールディングスが行い、データセキュリティの管理監督、運用状況の監視・監査を行う。CLO（Chief Legal Officer）やCISO（Chief Information Security Officer）も配置する。

　さらに、データベースの保守・運用については、新たに設立する合弁会社で行い、個人情報を含むデータベースの保守・運用業務はグループ外企業への業務委託は行わない方針。

　新会社は、今回の事故の監査を担当した情報セキュリティ専門企業の株式会社ラックとの合弁。ベネッセホールディングスが70％、ラックが30％出資して設立することで基本合意した。10月末に契約を締結し、2015年4月より業務を開始する予定だ。合弁会社では、世界でも有数のセキュリティレベルの高い保守・運用体制を構築することを目指すとしている。

　マーケティングなどのためのデータベース活用は、各事業会社がガイドラインを遵守しながら、保守・運用とは切り離した環境で行うとしている。