情報セキュリティで考慮すべき範囲

まず、ベネッセ個人情報流出事件の犯人はベネッセには直接雇用はされていません。 但し、ベネッセはシステム運用の専門業務を行う子会社「シンフォーム」を設立しました。 「シンフォーム」はシステム運用を、さらに複数の外部業者に分散して再委託していた。 外部業者にはさらに外部に再委託し、その中の業者から派遣社員として従事していたのが当該犯人だったと言うわけです。 > 社内の人間を疑う、 なので、派遣社員だったので、社内の人間ではなかった。 但し内部の業務を行っていたので、内部犯行だったと言うわけです。 しかも、派遣社員にも関わらずにフルアクセス権限に近い権限を与えていた。 そして、そのような権限を与えていたのにも関わらずに、定期監査を行っていなかった。なので、長期間そして大量にデータをコピーされたにも関わらずに、外部からの指摘で発覚するという何ともお粗末な結果になったと思われます。 まあ、結局過剰な経費節減したことと、必要以上に長期間に渡って個人情報を保管していた=既に契約関係が終了した人物の個人情報を10年以上も保有していたとか。 ですから、個人的には「悪意のある内部犯行者」よりも、それ以前のレベルの流出リスクを沢山抱えていたのではと思います。

>社内の人間を疑う、というのはセキュリティ要件に含めるべきか悩んでおります。 会社の同僚を疑うことで人間関係がギクシャクしたり会社内の雰囲気が良くなくなることもあるので注意は必要かも。 会社によってはメールの送受信などの内容も含めたログを取っているところもあります。会社のPCなどを私用で使わないとか会社として通信記録を取っていますと予め従業員に通知しておくなどルールを明快にしておくことで無用なトラブルはある程度防げるかも。