ベネッセの個人情報流出事故で、今後のアウトソーシングが変わるかも？

ベネッセの個人情報流出問題について中間報告を受けての発表が昨日ありました。個人情報流出した人へは、500円の金券を慰謝料として提供することになりました。これは、Yahoo!BBの事故以来大規模な問題が起きた場合の補償額と同額ですので、このあたりが落としどころなのでしょう。

この発表をNEWSポストセブンでは、以下のような記事にしています。

ベネッセコーポレーションによる個人情報の大量流出は、このまま収束に向かうのか。

当初、2300万件と発表されていた漏洩件数は、同社が名寄せを行った結果、約3504万件、約4800万人（実態の推計は約2895万件、約4000万人）に膨れ上がり、氏名や住所、電話番号、メールアドレスなどの個人情報が名簿事業者に売却されていたことが判明した。

「根本的な問題は、自社の情報セキュリティに関する過信、経営層を含むITリテラシーの不足、性善説にたった監査、監視体制の運用、などの企業風土に起因する甘さにあると判断しました」

9月10日、社内調査と事故調査委員会から出された中間報告を発表したベネッセホールディングス（HD）会長兼社長の原田泳幸氏は、さすがに疲労の色が隠せない様子だった。

今回、被害者への“慰謝料”として500円の金券を用意すると発表した原田氏だが、「金銭的謝罪は考えていない」と発言した7月の会見から一転、補償する方針に変えた理由をしつこく記者から問われると、

「情報が二転三転したとは思っていない。まずは事実確認をすべきとの経営姿勢を取っただけで、決して事の重大さに気付いて考えが変わったわけではない」と険しい表情で苛立つ場面も。

同社は2014年4～6月期決算で、顧客への補償に200億円、その他、お詫び文書の発想やセキュリティ対策費用として計260億円に及ぶ特別損失を計上している。原田氏は「これからかかる投資は経営を揺るがすほどの金額ではない」と説明し、本格的な事業の再開と巻き返しに意欲を見せた。

だが、本当にこれ以上の流出拡散は起こらないのだろうか。フォーサイト総合法律事務所のパートナー弁護士、深町周輔氏に聞いた。

「そもそも漏洩した件数が莫大ですし、今は直接的な被害を受けていなくても、名簿が転々と流通して二次被害、三次被害で精神的な苦痛を訴える人が出てくれば損害額も膨らんでくる可能性はあります」

ベネッセは名簿を利用した可能性の高い事業者35社に対し、個人情報の削除を通達してほとんどの会社から了承を得たと説明したが、枝葉のごとく広がってしまった情報を完全に食い止めることは難しいはず。

「漏洩件数は今日現在の最大値。これ以上、爆発的に数字が膨らむことはないと考えている。ただ、もし今日現在で予見できないことが起こった場合は、当然、企業責任において対応するしかない」

と、被害拡大の“止血”に限界も匂わせる原田氏。仮に、同社が一貫して否定しているクレジットカード情報の流出が1件でも確認されれば、同社の再建はさらに遠のくことになるだろう。

「今後、ベネッセはデータベースの保守・運用業務の外部委託をやめ、すべての情報管理・監督を自社内で厳格に行うなどの方針を発表しました。組織、技術、人材（教育）は個人情報の管理で重要な要素であり、再発防止策としてはマニュアルに則った対応といえます。

経営責任やコンプライアンスの徹底などは、教科書どおりの展開のような気がします。予想より増えたのも、当初想定よりも増えてしまうのはありえるでしょう。

ここで、気になるのは「データベースの保守・運用業務」の内製化です。これらの業務を内製化している会社も多いですが、人的リソースの不足や技術力の不足から外部に委託してることも多いと思います。それらの企業が今後どのような対応をとって行くのかが注目されてくると思います。それらを内製化する場合には、エンジニアは各ユーザー企業の中で業務を行うようになるでしょう。昨今のビッグデータの活用などを考えると、そのようなテクノロジーやデータの取扱にたけた人は、どうしても必要だと思いますし、その文脈からも内製化は進むのではと考えます。

しかし、そのような人材が特定の企業内に囲い込まれてしまうことによって、今までそのような仕事を受注することで事業を行っていた企業などは方針の転換が必要になるのかもしれません。