こんにちは 教育委員会のmichiyamaです。
前回が番外編だったので、今回は話をもどしてPマーク取得時にお役に立てる情報を発信させ ていただきます!
その1で、Pマークがどういったものかをお伝えしました。
今回は、なぜPマークを取得する必要があるかをお伝えしたいと思 います。
○Pマークはなぜ必要?
なぜ必要か?という聞き方をしてしまうと、これは前回お伝えした
会社が社会的信頼を得ることができる
ということなのですが、これはあくまでも持っている( 持つことができる)場合のメリット。
大事なものは取得・維持をするための手段にあります。
つまりは取得のために私たち社員全員のセキュリティに対する意識 ・リテラシーを向上させていくことこそが必要であり、重要にななるということです。
○セキュリティに対する意識・リテラシーが低いと?
Pマーク取得・維持の過程において、個人のセキュリティに対する意識・リテラシーを向上していくことで会社自体が信頼を得られるという ことになるといいましたが、逆に、ふとした個人の不注意や行動か ら会社の社会的信頼を失墜させ、大きな損害を出してしまうことが あります。
セキュリティに対する意識や情報リテラシーが低いがゆえに、どのようなことが起こり、どのような顛末を迎えたのかを過去の大規模情報流出事件からお伝 えしたいと思います。
有名どころではありますが、この機会に今一度ご確認ください。
○ベネッセ個人情報流出事件
2014年の事件。
顧客から
「 ベネッセにしか登録していないアドレスに他の会社のダイレクトメールが届く」
という問い合わせが急増し、調査を進めたところ、流出の可能性が確認され、
「最大約2070万件の情報が漏洩した可能性がある」
との発表が行われました。
これによりベネッセは責任部署にいた二人の取締役が引責辞任、さらに、顧客情報漏洩件数が3504万件と改めて公表。個人情報 漏洩被害者へ補償として金券500円を用意する事となりました。
これにより単純な保障だけで175憶の損害がでますが、当然これだけでは終わりません。
信用を失ったことにより会員数は激減(1年で35%減)、これにより売上高が前年同期比7%減、営業利益が同88% 減となり、営業損益は前年同期の39億1000万円の黒字から一転、4億3000万円の赤字という事になりました。
こうなると、当然次の年も回復などすることなく、16年3月期は連結最終損益を従来予想の38億円の黒字から82 億円の赤字(前の期は107億円の赤字)に下方修正。10-3月期(下期)の連結最終損益も従来予想の13. 7億円の赤字から133億円の赤字に下方修正し、赤字幅が拡大しています。
これだけにとどまらず、
「賠償を500円ですますとは何事か!1人当たり5万5千円は必要だ!なぁ、そうだろ!?」
と集団訴訟が起こっており、これはまだ決着していませんが、仮に対象者全員が受け取ることになれば1兆6000億円の支払い が必要になります。う~ん、恐ろしい額です。
あ、当然のことですが、Pマークも取り消しになっています。
さて、このような大惨事となったわけですが、これが起きてしまった原因は何でしょうか。
実はこれだけの額を動かし、大手企業を赤字という事態に突き落とすきっかけを作ったのは我々と同じ1人の外部のエンジニアなので す。
そのエンジニアはベネッセの顧客情報に関するデータベースの運用や保守管理を委託していた会社でデータベースシステム管理を任されていたそうです。
その関係で顧客情報にアクセスする権限があったエンジニアは、逮捕時の調べに対し、顧客情報を持ち出したことを認め、「 金がなくて生活に困っていたので、名簿業者に複数回売却した。 総額は数百万円になった」と供述した、とのこと。
まぁ、窃盗・ 横領系の犯罪者にありがちな自分勝手な供述ではありますが、データという相手の顔が見えないデータは良心の呵責というものが 薄くなってしまうものなのかもしれません。
もっと言えば、ここまでの大惨事が起こるとわからなかったとなれば、これこそが 情報に対するリテラシーが欠けていたという事になるかと思います 。
ちなみに、こちらもまだ確定していませんが、1審では懲役3年6ヵ月、罰金300万円の執行猶予無しの実刑判決、2審ではベネッセ側にも不備があるとして懲役2年6カ月、罰金300万円に減刑とのこと。執行猶予無しの実刑判決には落ち着きそうです。
自分の数百万円のために大勢の人たちに迷惑をかけまくった結果に なったわけですので当然といえば当然の結果という事になりますね 。
まぁ、ベネッセに比べたら・・・ と思う方もいらっしゃるかもしれませんが、実際、ベネッセにも責任があるわけですから、被害者とはいえないところですね。
被害者というのは預けたデータを流出された顧客なので、ベネッセ がこのような事態に陥らないためには流出を未然に防ぐ以外にはな かったわけです。
○まとめ
過去の流出事件をどのように感じられましたでしょうか。
自分はさすがにそんなことはしないなぁ・・・と考えた方もいらっしゃるかと思いますが、自分の利益のために不正を働かずとも、担当部署のデータの扱いによっては知らず知らずの間に何かを起こしてしまう可能性があります。
最近は少し落ち着いたとはいえSNS関連での本人が意識していな いところでの機密情報の漏洩なんかがそれに当るのではないでしょ うか。
こういったことを防ぐためにPマークを取得する過程での教育が必要になっていくと思います。
次回はセキュリティーに対する意識・リテラシーを高めるために、個人個人でできる対策や普段気を付けること等をお伝えできればと 思います。
最後までお付き合いいただきありがとうございました!
