読者です 読者をやめる 読者になる 読者になる

山下寛人オフィシャルブログ

オイシックス株式会社 執行役員 システム本部長 山下寛人の公式ブログです。

ベネッセたたきの大半は筋違い

最近もうあまり話題になりませんが、ベネッセの個人情報漏洩問題はオイシックスにとっても他人事でなく、同じようなことが起こらないように対策しなければなりません。そこでどういう対策がありえるのか世の中の識者の意見をいろいろ見ています。しかし残念なことにほとんどが筋違いで参考になりません。

私はこの問題の最大の特徴は、システム管理者による内部犯行であるという点です。犯人はシステムを管理する子会社に来ている派遣社員とのことで、その字面が誤解を生んでいるように思います。下請けの下請けだと思っている人がいるようです。システムを管理する子会社は本体のシステム部門とほぼ同じと考えてよいでしょう。エンジニアの派遣は下請けというイメージではなくかなり技術を持っているリーダークラスの人も派遣で契約することがあります。正社員の上司の役割をしているケースも聞いたことがあります。

セキュリティ対策は暗黙的にシステム管理者は例外扱いです。個人ごとのIDを発行する、アクセス権限を制限する、ログをとって監査するとかそういう対策は暗黙の前提としてシステム管理者は例外なのです。なぜならシステム管理者はIDを発行したり削除したりできます。アクセス権限を自分で変えることもできます。なんならログの出力を止めたり監視を停止したりすることもできるかもしれません。

そういう部分をどのように防止するか、システム面の対策を知りたかったのですがどうやらいい方法はないようです。契約で縛るなどのシステム以外の対策しかなさそうです。