マネジメント

多くの企業が喉から手が出るほど欲しがっている個人データ。ビッグデータの時代を迎え、データを収集・分析することで新たなビジネスが生まれている。それだけに、個人データを保護する動きが強まっているが、日本の対策は後手に回る。その結果が、毎年のように頻発する、個人データ流出事件だ。

 

日本のサイバーセキュリティ対策はザル!?

 

 今年5月から、EU域内でGDPRがスタートした。GDPRとは、「EU一般データ保護規制」のことで、個人データの保護を目的としたものだ。

 適用対象はEU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)となっているが、EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。つまりEU域内でビジネスを行う企業・団体・個人はすべて対象となり、個人データ保護のための対策が義務付けされた。

 義務内容に違反した場合、全世界売上高の4%もしくは2千万ユーロ(約25億円)の高い方が制裁金として課せられる。仮にトヨタ自動車がGDPR義務違反をした場合、制裁金は1兆円を上回ることになる。

 日本の取り組みはEUに比べ遅れているが、それでも昨年5月には改正個人情報保護法が施行され、プライバシー保護に向け一歩を踏み出した。現在も総務省を中心に保護強化の話し合いが続いている。

 ビッグデータは企業のマーケティングに不可欠だ。個人の日常の小さな行動までもがデータとして集積され、そのデータを分析することで新しい商品・サービスが生まれる。今や個人データは企業にとって「宝の山」。活用の仕方ひとつで大きな成長を果たすことができる。

 逆に言えば宝の山だけに、常に漏えい・流出の危機にさらされている。それを証明したのが、今年4月に発覚したフェイスブックの情報流出事件だ。

 これはフェイスブック利用者8700万人分の個人データが不正に第三者に渡されたというもので、これが2016年のアメリカ大統領選挙でトランプ陣営の選挙対策に使われたといわれている。もしこれが事実なら、企業の持つ個人データの流出が世界の政治に大きな変化をもたらしたことになる。

 この流出事件は、04年の誕生以来、右肩上がりの成長を続けてきたフェイスブックにとって大きな痛手となった。株価は一時、15%以上も下げ、ザッカーバーグCEOは米上下院それぞれの公聴会に召喚され、個人データの保護強化を約束させられた。個人データを活用することで成長してきたフェイスブックは、個人データによって窮地に立たされた。

 流出が起きたのはフェイスブックだけではない。13年には米ヤフーから30億件もの個人データが流出している。インターネット上で一度データが流出し、ファイル化されてしまうと、それを消すのは極めてやっかいだ。セキュリティ会社のソリトンシステムズの調査によると、インターネット上でファイル化されている個人データは世界で22億件にのぼるという。

 もちろん日本も例外ではない。むしろ日本は欧米に比べ個人データ保護の意識は弱く、サイバーセキュリティ対策も不十分な企業・組織が多い。

 日本の官公庁のホームページがしばしばハッキングされるのは、危機意識の低さを示している。サイバーセキュリティの専門家から「日本のセキュリティはザルのようなもの。どこで流出が起きてもおかしくない」という声がよく聞かれる。そして実際、数多くの流出・漏えい事件が起きてきた。

 

不正アクセス、サイバーテロによる情報流出・漏えいが増加

 

 日本で個人データ流出が大きく騒がれた事件第1号は、04年にヤフーBBの会員情報660万人分の情報が不正に持ち出され、900人以上、一説には8万6千人の情報が流出、DM配布のデータとして利用された。

 犯人はヤフーBBに出入りしていたエンジニアで、データをUSBメモリにコピーして持ち出した。ソフトバンク傘下のヤフーBBだけに、強固なデータ管理を行っていてもおかしくないが、実際には、社員なら誰でもデータにアクセスできるようになっており、その管理システムの甘さが指摘された。

 この事件では、実際に悪用されたのは持ち出されたデータの一部にすぎなかったが、ソフトバンクは全ヤフーBB利用者に対して500円の商品券を送付した。

 06年にはKDDIで、インターネット接続サービスDION(現au one net)の利用者約400万人の顧客情報が流出した。これはシステム開発を委託された担当者がデータを持ち出したもので、その後犯人はKDDIに対して金銭を支払うよう要求し、恐喝容疑で逮捕された。

 ヤフーBB事件以降、データ流出への関心が高まり、流出させた企業の評判が悪化することを逆手に取った犯罪だった。結局、恐喝は未遂に終わったため、データは悪用されることはなかった。それもあり、KDDIはソフトバンクのような金券送付は行っていない。

 同年、富士ゼロックスも同様の恐喝未遂事件に巻き込まれた。

 富士ゼロックスの子会社、富士ゼロックスシステムサービスは、複数の自治体で戸籍のデータ化に取り組んでいたが、同社の協力会社の社員でもデータに自由にアクセスできたことからこれを悪用、データの入ったノートPCをインターネット上で販売した。このPCを購入した男が、富士ゼロックスシステムサービスを脅迫、逮捕されたことで事件が発覚した。

 このほか、07年にアフラックの顧客情報15万件、契約情報20万件の漏えいなどもあったが、この時代までの流出・漏えいは、データを持っている会社に出入りする人間がコピーやPCを持ち出したケースか、会社のPCを社外に持ち出した際に紛失・盗難に遭い、データが流出するケースが大半だった。

 当時はまだデータ管理に対する認識が甘く、誰でも簡単にアクセスできたり、自由に外に持ち出すことを会社側が黙認していた。しかし事件が度々起きたことで管理が厳しくなり、このタイプの流出・漏えい事件は徐々に減っていく。代わりに増えていったのが、不正アクセス、サイバーテロによる流出・漏えいだ。

 

狙われる日本企業、公的機関―イタチごっこが続く情報流出との戦い

 

 サイバーテロによるデータ流出が表面化した最初の事件は、08年のサウンドハウスが舞台となった。

 同社は業務用音響機器や舞台照明機器をネット通販しているが、中国からのサイバーテロによって、約12万人分のクレジットカード番号を含む個人データが流出した。サウンドハウスにしても、当時の通販会社としてはごく常識手的な防衛策を講じてはいたが、悪意を持った相手に対しては無力だった。この事件以降、個人データを取り扱う会社は、より一層のセキュリティ対策が必要になった。

 しかし同様の事件はその後も続く。10年にはパソコンショップのユニットコムの25万人のクレジットカード情報が不正アクセスにより流出、10年にはサミーネットワークスのオンライトゲームサイトに不正アクセスがあり、173万人の個人データが流出した。

 また、ソニーは11年にグループ全体で1億件を超える情報流出があった。これはソニーオンラインエンタテインメントやプレイステーションネットワークなど、ソニーが展開するインターネットサービスがハッカーたちの標的となり、不正アクセスを受けたもの。当時、ソニーの業績は悪化していたが、そこに情報流出事件が加わり、翌年にはハワード・ストリンガーCEOの退任につながった。

 13年にはヤフージャパンが不正アクセスを受け、最大2200万人のIDが流出、14年には経路不明だがベネッセから最大2千万人の個人データが流出した。日本マクドナルドを成長させ、プロ経営者としての評価も高かった当時社長の原田泳幸氏は、就任早々、事件発覚のトラブルに見舞われた。これで出鼻をくじかれたのか、2年後にはその座を去っていったことは記憶に新しい。

 個人データが流出したのは企業だけではない。

 15年には日本年金機構に対して不正アクセスがあり、基礎年金番号などの個人データ125万件が流出した。原因は職員が電子メールに添付されたウイルスの入ったファイルを開封、ダウンロードしたためとみられている。職員のサイバーテロに対する意識の低さが事件の根底にあった。

 また同年大阪府堺市でも、市民の有権者情報68万件が流出した。これはサイバーテロなどではなく、市職員がデータを自宅に持ち帰り自作の選挙システムを構築。これを外部に売り込むためレンタルサーバーにシステムを保存したところ、公開状態になったというから悪質だ。この市職員は懲戒免職になっただけでなく、刑事告訴され書類送検された(不起訴処分)。

 役所など公的な機関こそ、本来、セキュリティ対策には力を入れるべきだが、民間企業よりも対策が後手に回っているのが現実だ。

 

サイバーセキュリティ対策が後手を踏む理由

 

 それでも、過去にさまざまな事件が起き、それに対応するために多額のコストがかかる現実を踏まえ、流出を未然に防ぐべく、セキュリティ強化に踏み切るケースが増えている。

 それでも今年に入ってからも森永乳業やプレミアム・アウトレット、GMOぺパポなどで不正アクセス等による情報流出が起きている。最近の流出事件の特徴は、流出したデータがどこに流れ、どう使われているかまるで分からないことだ。

 以前のように企業を脅迫するために使われたのなら、対策の取りようがあるが、黙って利用されたのでは、手の打ちようがない。しかも表面化した事件以外でも、誰も気づかないままデータが流出し続けている。

 先日、野村総合研究所が発表した「サイバーセキュリティ傾向分析レポート」では、「ウインドウズ7を使い続けていることが脆弱性の一因」と指摘している。後継OSのウィンドウズ10は7に比べはるかにセキュリティ機能が強化されているが、人的・金銭的リソースが不足しているため、10への移行が進まない現実がある。

 今、「働き方改革」の必要性が叫ばれている。そのひとつとして、働く場所を選ばないテレワークの推進も掲げられている。働く人が、働きやすい好きな場所で仕事をするには、外部の端末からインターネットを経由して会社のシステムやクラウドに接続する必要がある。

 一時、会社のデータを持ち帰り、そこから外部に流出する事件が相次いだため、多くの企業がデータ持ち出し禁止の規定をもうけたが、テレワークはその規定を骨抜きにする可能性がある。働き方改革を進めるためにも、さらなるセキュリティ対策が求められる。

 また、IoTにより、あらゆるものがインターネットにつながる時代を迎え、それに伴いIoT機器を狙ったサイバー攻撃が増えてきている。今後通信が5G時代を迎えると、通信量は飛躍的に増える。それは同時にリスクを高めることでもある。

 悪意を持ったハッカーたちは、セキュリティの穴を探し出しては不正アクセス攻撃を仕掛けてくる。冒頭にあげたGDPRの例を持ち出すまでもなく、今後はさらに情報管理に対する要求は高まっていく。要求に応えられない場合は、世界の市場から追い出されるだけに、対岸の火事視している場合ではない。

関連記事

好評連載

銀行交渉術の裏ワザ

一覧へ

融資における金利固定化(金利スワップ)の方法

[連載] 銀行交渉術の裏ワザ(第20回)

銀行交渉術の裏ワザ

[連載] 銀行交渉術の裏ワザ(第19回)

定期的に銀行と接触を持つ方法 ~円滑な融資のために~

[連載] 銀行交渉術の裏ワザ(第18回)

メインバンクとの付き合い方

[連載] 銀行交渉術の裏ワザ(第17回)

銀行融資の裏側 ~金利引き上げの口実とその対処法~

[連載] 銀行交渉術の裏ワザ(第16回)

融資は決算書と日常取引に大きく影響を受ける

元榮太一郎の企業法務教室

一覧へ

社内メールの管理方法

[連載]元榮太一郎の企業法務教室(第20回)

企業法務教室

[連載]元榮太一郎の企業法務教室(第19回)

タカタ事件とダスキン事件に学ぶ 不祥事対応の原則

[連載] 元榮太一郎の企業法務教室(第18回)

ブラック企業と労災認定

[連載] 元榮太一郎の企業法務教室(第17回)

電話等のコミュニケーション・ツールを使った取締役会の適法性

[連載] 元榮太一郎の企業法務教室(第16回)

女性の出産と雇用の問題

本郷孔洋の税務・会計心得帳

一覧へ

税務は人生のごとく「結ばれたり、離れたり」

[連載] 税務・会計心得帳(最終回)

税務・会計心得帳

[連載] 税務・会計心得帳(第18回)

グループ法人税制の勘どころ

[連載] 税務・会計心得帳(第17回)

自己信託のススメ

[連載] 税務・会計心得帳(第16回)

税務の心得 ~所得税の節税ポイント~

[連載] 税務・会計心得帳(第15回)

税務の心得 ~固定資産税の取り戻し方~

子育てに学ぶ人材育成

一覧へ

意欲不足が気になる社員の指導法

[連載] 子どもに学ぶ人材マネジメント(第20回)

子どもに学ぶ人材マネジメント

[連載] 子どもに学ぶ人材マネジメント(第19回)

子育てで重要な「言葉」とは?

[連載] 子どもに学ぶ人材マネジメント(第18回)

女性社員を上手く育成することで企業を強くする

[連載] 子どもに学ぶ人材マネジメント(第17回)

人材育成のコツ ~部下の感情とどうつきあうか~

[連載] 子どもに学ぶ人材マネジメント(第16回)

人材育成 ~“将来有望”な社員の育て方~

ビジネストレンド新着記事

注目企業

一覧へ

【特集】2019年注目企業30

 2018年の日本経済は、世界のマーケットを席巻してきた中国経済の成長鈍化が鮮明になり、併せて米・中の経済摩擦、英国のEU離脱問題などの対外的な課題が重なって大きな閉そく感が漂う年だった。 しかしながら元気な中堅・中小企業はネガティブな要因をものともせず独自の経営手法で活路を開いている。 原点回帰で、顧客第一…

「超サポ愉快カンパニー」としてワクワクするビジネスサイクルを回す―アシスト

ITと建設機械、グリーンエネルギーの3本柱で地球環境問題解決に貢献する―Abalance

新社長登場

一覧へ

地域に根差した証券会社が迎えた創業100周年―藍澤卓弥(アイザワ証券社長)

中堅証券会社のアイザワ証券は今年7月、創業100周年を迎えた。この記念すべき年に父からバトンを受け継ぎ新社長となったのが、創業者のひ孫にあたる藍澤卓弥氏。地域密着を旗印に掲げてここまで成長してきたアイザワ証券だが、変化の激しい時代に、藍澤社長は何を引き継ぎ、何を変えていくのか。聞き手=関 慎夫 Photo:西…

メディカル事業を横串にすることでシナジーを発揮し、顧客満足度向上へ 伏見有貴(リゾートトラスト社長)

新事業の芽を伸ばすことでさらに大きな個性的な会社を目指す――日髙祥博(ヤマハ発動機社長)

イノベーターズ

一覧へ

ペット仏具の先駆企業が「ペットロスカフェ」で目指す癒しの空間づくり

家族のように接していたペットを亡くし、飼い主が大きな喪失感に襲われる「ペットロス」。このペットロスとなってしまった人々が交流し、お互いを癒し合うカフェが、東京都渋谷区にオープンした。「ディアペット」を運営するインラビングメモリー社の仁部武士社長に、ペット仏具の世界とペットロスカフェをつくった目的について聞いた…

元引きこもり青年が「cluster」で創造する新たなVRビジネスとエンターテインメント(加藤直人・クラスターCEO)

日本人の英語学習の課題解決に向け、学習者目線のアプリを開発―― 山口隼也(ポリグロッツ社長)

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸教育部…

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2019年4月号
[特集]
日本の「食」最前線

  • ・総論 日本の「食」から世界の「食」へ 成長産業となった農水・食品産業
  • ・「食」の輸出1兆円を支えるジェトロの役割
  • ・全国で進むブランド化「食」から始まる地方創生
  • ・上海で見た日本の「食」の未来
  • ・海外進出した外食チェーン「成功」と「失敗」の分かれ目
  • ・日本人が知らない中国の「日本食ブーム」の真実
  • ・消費税引き上げで始まる「外食VS中食」最終戦争

[Special Interview]

 星野晃司(小田急電鉄社長)

 「未来を見据えた挑戦で日本一暮らしやすい沿線をつくる」

[NEWS REPORT]

◆中国リスクが顕在化 電機業界に再び漂い始めた暗雲

◆持続可能な水産業へ 魚はいつまで食べられるのか

◆CES 2019現地レポート 家電からテクノロジーへの主役交代が鮮明に

◆相次ぐトラブルで業績悪化 SUBARUの見えない明日

[総力特集]

 2019年注目企業30

ページ上部へ戻る