マネジメント

多くの企業が喉から手が出るほど欲しがっている個人データ。ビッグデータの時代を迎え、データを収集・分析することで新たなビジネスが生まれている。それだけに、個人データを保護する動きが強まっているが、日本の対策は後手に回る。その結果が、毎年のように頻発する、個人データ流出事件だ。

 

日本のサイバーセキュリティ対策はザル!?

 

 今年5月から、EU域内でGDPRがスタートした。GDPRとは、「EU一般データ保護規制」のことで、個人データの保護を目的としたものだ。

 適用対象はEU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)となっているが、EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。つまりEU域内でビジネスを行う企業・団体・個人はすべて対象となり、個人データ保護のための対策が義務付けされた。

 義務内容に違反した場合、全世界売上高の4%もしくは2千万ユーロ(約25億円)の高い方が制裁金として課せられる。仮にトヨタ自動車がGDPR義務違反をした場合、制裁金は1兆円を上回ることになる。

 日本の取り組みはEUに比べ遅れているが、それでも昨年5月には改正個人情報保護法が施行され、プライバシー保護に向け一歩を踏み出した。現在も総務省を中心に保護強化の話し合いが続いている。

 ビッグデータは企業のマーケティングに不可欠だ。個人の日常の小さな行動までもがデータとして集積され、そのデータを分析することで新しい商品・サービスが生まれる。今や個人データは企業にとって「宝の山」。活用の仕方ひとつで大きな成長を果たすことができる。

 逆に言えば宝の山だけに、常に漏えい・流出の危機にさらされている。それを証明したのが、今年4月に発覚したフェイスブックの情報流出事件だ。

 これはフェイスブック利用者8700万人分の個人データが不正に第三者に渡されたというもので、これが2016年のアメリカ大統領選挙でトランプ陣営の選挙対策に使われたといわれている。もしこれが事実なら、企業の持つ個人データの流出が世界の政治に大きな変化をもたらしたことになる。

 この流出事件は、04年の誕生以来、右肩上がりの成長を続けてきたフェイスブックにとって大きな痛手となった。株価は一時、15%以上も下げ、ザッカーバーグCEOは米上下院それぞれの公聴会に召喚され、個人データの保護強化を約束させられた。個人データを活用することで成長してきたフェイスブックは、個人データによって窮地に立たされた。

 流出が起きたのはフェイスブックだけではない。13年には米ヤフーから30億件もの個人データが流出している。インターネット上で一度データが流出し、ファイル化されてしまうと、それを消すのは極めてやっかいだ。セキュリティ会社のソリトンシステムズの調査によると、インターネット上でファイル化されている個人データは世界で22億件にのぼるという。

 もちろん日本も例外ではない。むしろ日本は欧米に比べ個人データ保護の意識は弱く、サイバーセキュリティ対策も不十分な企業・組織が多い。

 日本の官公庁のホームページがしばしばハッキングされるのは、危機意識の低さを示している。サイバーセキュリティの専門家から「日本のセキュリティはザルのようなもの。どこで流出が起きてもおかしくない」という声がよく聞かれる。そして実際、数多くの流出・漏えい事件が起きてきた。

 

不正アクセス、サイバーテロによる情報流出・漏えいが増加

 

 日本で個人データ流出が大きく騒がれた事件第1号は、04年にヤフーBBの会員情報660万人分の情報が不正に持ち出され、900人以上、一説には8万6千人の情報が流出、DM配布のデータとして利用された。

 犯人はヤフーBBに出入りしていたエンジニアで、データをUSBメモリにコピーして持ち出した。ソフトバンク傘下のヤフーBBだけに、強固なデータ管理を行っていてもおかしくないが、実際には、社員なら誰でもデータにアクセスできるようになっており、その管理システムの甘さが指摘された。

 この事件では、実際に悪用されたのは持ち出されたデータの一部にすぎなかったが、ソフトバンクは全ヤフーBB利用者に対して500円の商品券を送付した。

 06年にはKDDIで、インターネット接続サービスDION(現au one net)の利用者約400万人の顧客情報が流出した。これはシステム開発を委託された担当者がデータを持ち出したもので、その後犯人はKDDIに対して金銭を支払うよう要求し、恐喝容疑で逮捕された。

 ヤフーBB事件以降、データ流出への関心が高まり、流出させた企業の評判が悪化することを逆手に取った犯罪だった。結局、恐喝は未遂に終わったため、データは悪用されることはなかった。それもあり、KDDIはソフトバンクのような金券送付は行っていない。

 同年、富士ゼロックスも同様の恐喝未遂事件に巻き込まれた。

 富士ゼロックスの子会社、富士ゼロックスシステムサービスは、複数の自治体で戸籍のデータ化に取り組んでいたが、同社の協力会社の社員でもデータに自由にアクセスできたことからこれを悪用、データの入ったノートPCをインターネット上で販売した。このPCを購入した男が、富士ゼロックスシステムサービスを脅迫、逮捕されたことで事件が発覚した。

 このほか、07年にアフラックの顧客情報15万件、契約情報20万件の漏えいなどもあったが、この時代までの流出・漏えいは、データを持っている会社に出入りする人間がコピーやPCを持ち出したケースか、会社のPCを社外に持ち出した際に紛失・盗難に遭い、データが流出するケースが大半だった。

 当時はまだデータ管理に対する認識が甘く、誰でも簡単にアクセスできたり、自由に外に持ち出すことを会社側が黙認していた。しかし事件が度々起きたことで管理が厳しくなり、このタイプの流出・漏えい事件は徐々に減っていく。代わりに増えていったのが、不正アクセス、サイバーテロによる流出・漏えいだ。

 

狙われる日本企業、公的機関―イタチごっこが続く情報流出との戦い

 

 サイバーテロによるデータ流出が表面化した最初の事件は、08年のサウンドハウスが舞台となった。

 同社は業務用音響機器や舞台照明機器をネット通販しているが、中国からのサイバーテロによって、約12万人分のクレジットカード番号を含む個人データが流出した。サウンドハウスにしても、当時の通販会社としてはごく常識手的な防衛策を講じてはいたが、悪意を持った相手に対しては無力だった。この事件以降、個人データを取り扱う会社は、より一層のセキュリティ対策が必要になった。

 しかし同様の事件はその後も続く。10年にはパソコンショップのユニットコムの25万人のクレジットカード情報が不正アクセスにより流出、10年にはサミーネットワークスのオンライトゲームサイトに不正アクセスがあり、173万人の個人データが流出した。

 また、ソニーは11年にグループ全体で1億件を超える情報流出があった。これはソニーオンラインエンタテインメントやプレイステーションネットワークなど、ソニーが展開するインターネットサービスがハッカーたちの標的となり、不正アクセスを受けたもの。当時、ソニーの業績は悪化していたが、そこに情報流出事件が加わり、翌年にはハワード・ストリンガーCEOの退任につながった。

 13年にはヤフージャパンが不正アクセスを受け、最大2200万人のIDが流出、14年には経路不明だがベネッセから最大2千万人の個人データが流出した。日本マクドナルドを成長させ、プロ経営者としての評価も高かった当時社長の原田泳幸氏は、就任早々、事件発覚のトラブルに見舞われた。これで出鼻をくじかれたのか、2年後にはその座を去っていったことは記憶に新しい。

 個人データが流出したのは企業だけではない。

 15年には日本年金機構に対して不正アクセスがあり、基礎年金番号などの個人データ125万件が流出した。原因は職員が電子メールに添付されたウイルスの入ったファイルを開封、ダウンロードしたためとみられている。職員のサイバーテロに対する意識の低さが事件の根底にあった。

 また同年大阪府堺市でも、市民の有権者情報68万件が流出した。これはサイバーテロなどではなく、市職員がデータを自宅に持ち帰り自作の選挙システムを構築。これを外部に売り込むためレンタルサーバーにシステムを保存したところ、公開状態になったというから悪質だ。この市職員は懲戒免職になっただけでなく、刑事告訴され書類送検された(不起訴処分)。

 役所など公的な機関こそ、本来、セキュリティ対策には力を入れるべきだが、民間企業よりも対策が後手に回っているのが現実だ。

 

サイバーセキュリティ対策が後手を踏む理由

 

 それでも、過去にさまざまな事件が起き、それに対応するために多額のコストがかかる現実を踏まえ、流出を未然に防ぐべく、セキュリティ強化に踏み切るケースが増えている。

 それでも今年に入ってからも森永乳業やプレミアム・アウトレット、GMOぺパポなどで不正アクセス等による情報流出が起きている。最近の流出事件の特徴は、流出したデータがどこに流れ、どう使われているかまるで分からないことだ。

 以前のように企業を脅迫するために使われたのなら、対策の取りようがあるが、黙って利用されたのでは、手の打ちようがない。しかも表面化した事件以外でも、誰も気づかないままデータが流出し続けている。

 先日、野村総合研究所が発表した「サイバーセキュリティ傾向分析レポート」では、「ウインドウズ7を使い続けていることが脆弱性の一因」と指摘している。後継OSのウィンドウズ10は7に比べはるかにセキュリティ機能が強化されているが、人的・金銭的リソースが不足しているため、10への移行が進まない現実がある。

 今、「働き方改革」の必要性が叫ばれている。そのひとつとして、働く場所を選ばないテレワークの推進も掲げられている。働く人が、働きやすい好きな場所で仕事をするには、外部の端末からインターネットを経由して会社のシステムやクラウドに接続する必要がある。

 一時、会社のデータを持ち帰り、そこから外部に流出する事件が相次いだため、多くの企業がデータ持ち出し禁止の規定をもうけたが、テレワークはその規定を骨抜きにする可能性がある。働き方改革を進めるためにも、さらなるセキュリティ対策が求められる。

 また、IoTにより、あらゆるものがインターネットにつながる時代を迎え、それに伴いIoT機器を狙ったサイバー攻撃が増えてきている。今後通信が5G時代を迎えると、通信量は飛躍的に増える。それは同時にリスクを高めることでもある。

 悪意を持ったハッカーたちは、セキュリティの穴を探し出しては不正アクセス攻撃を仕掛けてくる。冒頭にあげたGDPRの例を持ち出すまでもなく、今後はさらに情報管理に対する要求は高まっていく。要求に応えられない場合は、世界の市場から追い出されるだけに、対岸の火事視している場合ではない。

 

【サイバーセキュリティ】の記事一覧はこちら

【マネジメント】の記事一覧はこちら

 
経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan
 

雑誌「経済界」定期購読のご案内はこちら

経済界電子版トップへ戻る

関連記事

好評連載

銀行交渉術の裏ワザ

一覧へ

融資における金利固定化(金利スワップ)の方法

[連載] 銀行交渉術の裏ワザ(第20回)

銀行交渉術の裏ワザ

[連載] 銀行交渉術の裏ワザ(第19回)

定期的に銀行と接触を持つ方法 ~円滑な融資のために~

[連載] 銀行交渉術の裏ワザ(第18回)

メインバンクとの付き合い方

[連載] 銀行交渉術の裏ワザ(第17回)

銀行融資の裏側 ~金利引き上げの口実とその対処法~

[連載] 銀行交渉術の裏ワザ(第16回)

融資は決算書と日常取引に大きく影響を受ける

元榮太一郎の企業法務教室

一覧へ

社内メールの管理方法

[連載]元榮太一郎の企業法務教室(第20回)

企業法務教室

[連載]元榮太一郎の企業法務教室(第19回)

タカタ事件とダスキン事件に学ぶ 不祥事対応の原則

[連載] 元榮太一郎の企業法務教室(第18回)

ブラック企業と労災認定

[連載] 元榮太一郎の企業法務教室(第17回)

電話等のコミュニケーション・ツールを使った取締役会の適法性

[連載] 元榮太一郎の企業法務教室(第16回)

女性の出産と雇用の問題

本郷孔洋の税務・会計心得帳

一覧へ

税務は人生のごとく「結ばれたり、離れたり」

[連載] 税務・会計心得帳(最終回)

税務・会計心得帳

[連載] 税務・会計心得帳(第18回)

グループ法人税制の勘どころ

[連載] 税務・会計心得帳(第17回)

自己信託のススメ

[連載] 税務・会計心得帳(第16回)

税務の心得 ~所得税の節税ポイント~

[連載] 税務・会計心得帳(第15回)

税務の心得 ~固定資産税の取り戻し方~

子育てに学ぶ人材育成

一覧へ

意欲不足が気になる社員の指導法

[連載] 子どもに学ぶ人材マネジメント(第20回)

子どもに学ぶ人材マネジメント

[連載] 子どもに学ぶ人材マネジメント(第19回)

子育てで重要な「言葉」とは?

[連載] 子どもに学ぶ人材マネジメント(第18回)

女性社員を上手く育成することで企業を強くする

[連載] 子どもに学ぶ人材マネジメント(第17回)

人材育成のコツ ~部下の感情とどうつきあうか~

[連載] 子どもに学ぶ人材マネジメント(第16回)

人材育成 ~“将来有望”な社員の育て方~

ビジネストレンド新着記事

注目企業

一覧へ

次なるステージを駆け上がる日本電子「70年目の転進」–日本電子

 最先端の分析機器・理科学機器の製造・販売・開発研究等を手掛ける日本電子(JEOL)は、ノーベル賞受賞者を含むトップサイエンティストや研究機関を顧客に、世界の科学技術振興を支えてきた。足元の業績は2019年3月期で連結営業利益、同経常利益、同最終利益がいずれも過去最高を更新。かつては技術偏重による「儲からない…

独自開発のホテル基幹システムで業務効率化と顧客満足度を向上–ネットシスジャパン

逆転の発想で歴史に残る食パンを 生活に新しい食文化をもたらす–乃が美ホールディングス

新社長登場

一覧へ

森島寛晃・セレッソ大阪社長が目指すクラブ経営とは

前身のヤンマーディーゼルサッカー部を経て1993年に創設されたセレッソ大阪。その25周年にあたる2018年12月に社長に就任した森島寛晃氏は、ヤンマー時代も含めて通算28年間セレッソ一筋、「ミスターセレッソ」の愛称を持つ。今も多くのファンに愛される新社長が目指すクラブ経営とは。聞き手=島本哲平 Photo=藤…

森島寛晃・セレッソ大阪社長

カリスマ創業者の後任として描く「新しいマネックス証券像」― マネックス証券社長 清明祐子

「若者需要の開拓でビール市場を盛り上げていく」塩澤賢一(アサヒビール社長)

イノベーターズ

一覧へ

非大卒就職マーケットの変革に挑む元教師の挑戦―永田謙介(スパーク社長)

日本企業の年功序列と終身雇用が崩壊に向かう中、制度を支えてきた大学生の新卒一括採用の是非もようやく議論されるようになってきた。一方、高校卒業後に就職する学生のための制度は旧態依然とし、変化の兆しがほとんど見えない。こうした現状を打ち破るべく、非大卒就職マーケットの改革に挑戦しているのがSpark(スパーク)社…

起業家にとって「志」が綺麗ごとではなく重要な理由―坂本憲彦(一般財団法人立志財団理事長)

勉強ノウハウと法律知識で企業の「働き方改革」を促進する―鬼頭政人(サイトビジット社長)

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 …

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2020年5月号
[特集] 巻き込む力
  • ・高岡浩三(ネスレ日本社長兼CEO)
  • ・唐池恒二(九州旅客鉄道会長)
  • ・河野 仁(防衛大学校教授)
  • ・入山章栄(早稲田大学大学院・ビジネススクール教授)
  • ・出口治明(立命館アジア太平洋大学学長)
  • ・中竹竜二(日本ラグビーフットボール協会理事)
  • ・時代も国境も超えた普遍のリーダーシップを学べるベストブックス
[Special Interview]

 小林喜光(三菱ケミカルホールディングス会長)

 イノベーションを起こすために「人間とは何か」を問う

[NEWS REPORT]

◆零細企業でも活用できるインターネットM&A最前線

◆業界再編はあるのか 日本製鉄、巻き返しへの一手

◆技術研究所を解体してホンダは何を目指すのか

◆新型コロナウイルス治療薬 なぜ日本企業は創れないのか

[特集2]

 経営者に贈る「イロとカネの危機管理」

ページ上部へ戻る