マネジメント

多くの企業が喉から手が出るほど欲しがっている個人データ。ビッグデータの時代を迎え、データを収集・分析することで新たなビジネスが生まれている。それだけに、個人データを保護する動きが強まっているが、日本の対策は後手に回る。その結果が、毎年のように頻発する、個人データ流出事件だ。

 

日本のサイバーセキュリティ対策はザル!?

 

 今年5月から、EU域内でGDPRがスタートした。GDPRとは、「EU一般データ保護規制」のことで、個人データの保護を目的としたものだ。

 適用対象はEU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)となっているが、EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。つまりEU域内でビジネスを行う企業・団体・個人はすべて対象となり、個人データ保護のための対策が義務付けされた。

 義務内容に違反した場合、全世界売上高の4%もしくは2千万ユーロ(約25億円)の高い方が制裁金として課せられる。仮にトヨタ自動車がGDPR義務違反をした場合、制裁金は1兆円を上回ることになる。

 日本の取り組みはEUに比べ遅れているが、それでも昨年5月には改正個人情報保護法が施行され、プライバシー保護に向け一歩を踏み出した。現在も総務省を中心に保護強化の話し合いが続いている。

 ビッグデータは企業のマーケティングに不可欠だ。個人の日常の小さな行動までもがデータとして集積され、そのデータを分析することで新しい商品・サービスが生まれる。今や個人データは企業にとって「宝の山」。活用の仕方ひとつで大きな成長を果たすことができる。

 逆に言えば宝の山だけに、常に漏えい・流出の危機にさらされている。それを証明したのが、今年4月に発覚したフェイスブックの情報流出事件だ。

 これはフェイスブック利用者8700万人分の個人データが不正に第三者に渡されたというもので、これが2016年のアメリカ大統領選挙でトランプ陣営の選挙対策に使われたといわれている。もしこれが事実なら、企業の持つ個人データの流出が世界の政治に大きな変化をもたらしたことになる。

 この流出事件は、04年の誕生以来、右肩上がりの成長を続けてきたフェイスブックにとって大きな痛手となった。株価は一時、15%以上も下げ、ザッカーバーグCEOは米上下院それぞれの公聴会に召喚され、個人データの保護強化を約束させられた。個人データを活用することで成長してきたフェイスブックは、個人データによって窮地に立たされた。

 流出が起きたのはフェイスブックだけではない。13年には米ヤフーから30億件もの個人データが流出している。インターネット上で一度データが流出し、ファイル化されてしまうと、それを消すのは極めてやっかいだ。セキュリティ会社のソリトンシステムズの調査によると、インターネット上でファイル化されている個人データは世界で22億件にのぼるという。

 もちろん日本も例外ではない。むしろ日本は欧米に比べ個人データ保護の意識は弱く、サイバーセキュリティ対策も不十分な企業・組織が多い。

 日本の官公庁のホームページがしばしばハッキングされるのは、危機意識の低さを示している。サイバーセキュリティの専門家から「日本のセキュリティはザルのようなもの。どこで流出が起きてもおかしくない」という声がよく聞かれる。そして実際、数多くの流出・漏えい事件が起きてきた。

 

不正アクセス、サイバーテロによる情報流出・漏えいが増加

 

 日本で個人データ流出が大きく騒がれた事件第1号は、04年にヤフーBBの会員情報660万人分の情報が不正に持ち出され、900人以上、一説には8万6千人の情報が流出、DM配布のデータとして利用された。

 犯人はヤフーBBに出入りしていたエンジニアで、データをUSBメモリにコピーして持ち出した。ソフトバンク傘下のヤフーBBだけに、強固なデータ管理を行っていてもおかしくないが、実際には、社員なら誰でもデータにアクセスできるようになっており、その管理システムの甘さが指摘された。

 この事件では、実際に悪用されたのは持ち出されたデータの一部にすぎなかったが、ソフトバンクは全ヤフーBB利用者に対して500円の商品券を送付した。

 06年にはKDDIで、インターネット接続サービスDION(現au one net)の利用者約400万人の顧客情報が流出した。これはシステム開発を委託された担当者がデータを持ち出したもので、その後犯人はKDDIに対して金銭を支払うよう要求し、恐喝容疑で逮捕された。

 ヤフーBB事件以降、データ流出への関心が高まり、流出させた企業の評判が悪化することを逆手に取った犯罪だった。結局、恐喝は未遂に終わったため、データは悪用されることはなかった。それもあり、KDDIはソフトバンクのような金券送付は行っていない。

 同年、富士ゼロックスも同様の恐喝未遂事件に巻き込まれた。

 富士ゼロックスの子会社、富士ゼロックスシステムサービスは、複数の自治体で戸籍のデータ化に取り組んでいたが、同社の協力会社の社員でもデータに自由にアクセスできたことからこれを悪用、データの入ったノートPCをインターネット上で販売した。このPCを購入した男が、富士ゼロックスシステムサービスを脅迫、逮捕されたことで事件が発覚した。

 このほか、07年にアフラックの顧客情報15万件、契約情報20万件の漏えいなどもあったが、この時代までの流出・漏えいは、データを持っている会社に出入りする人間がコピーやPCを持ち出したケースか、会社のPCを社外に持ち出した際に紛失・盗難に遭い、データが流出するケースが大半だった。

 当時はまだデータ管理に対する認識が甘く、誰でも簡単にアクセスできたり、自由に外に持ち出すことを会社側が黙認していた。しかし事件が度々起きたことで管理が厳しくなり、このタイプの流出・漏えい事件は徐々に減っていく。代わりに増えていったのが、不正アクセス、サイバーテロによる流出・漏えいだ。

 

狙われる日本企業、公的機関―イタチごっこが続く情報流出との戦い

 

 サイバーテロによるデータ流出が表面化した最初の事件は、08年のサウンドハウスが舞台となった。

 同社は業務用音響機器や舞台照明機器をネット通販しているが、中国からのサイバーテロによって、約12万人分のクレジットカード番号を含む個人データが流出した。サウンドハウスにしても、当時の通販会社としてはごく常識手的な防衛策を講じてはいたが、悪意を持った相手に対しては無力だった。この事件以降、個人データを取り扱う会社は、より一層のセキュリティ対策が必要になった。

 しかし同様の事件はその後も続く。10年にはパソコンショップのユニットコムの25万人のクレジットカード情報が不正アクセスにより流出、10年にはサミーネットワークスのオンライトゲームサイトに不正アクセスがあり、173万人の個人データが流出した。

 また、ソニーは11年にグループ全体で1億件を超える情報流出があった。これはソニーオンラインエンタテインメントやプレイステーションネットワークなど、ソニーが展開するインターネットサービスがハッカーたちの標的となり、不正アクセスを受けたもの。当時、ソニーの業績は悪化していたが、そこに情報流出事件が加わり、翌年にはハワード・ストリンガーCEOの退任につながった。

 13年にはヤフージャパンが不正アクセスを受け、最大2200万人のIDが流出、14年には経路不明だがベネッセから最大2千万人の個人データが流出した。日本マクドナルドを成長させ、プロ経営者としての評価も高かった当時社長の原田泳幸氏は、就任早々、事件発覚のトラブルに見舞われた。これで出鼻をくじかれたのか、2年後にはその座を去っていったことは記憶に新しい。

 個人データが流出したのは企業だけではない。

 15年には日本年金機構に対して不正アクセスがあり、基礎年金番号などの個人データ125万件が流出した。原因は職員が電子メールに添付されたウイルスの入ったファイルを開封、ダウンロードしたためとみられている。職員のサイバーテロに対する意識の低さが事件の根底にあった。

 また同年大阪府堺市でも、市民の有権者情報68万件が流出した。これはサイバーテロなどではなく、市職員がデータを自宅に持ち帰り自作の選挙システムを構築。これを外部に売り込むためレンタルサーバーにシステムを保存したところ、公開状態になったというから悪質だ。この市職員は懲戒免職になっただけでなく、刑事告訴され書類送検された(不起訴処分)。

 役所など公的な機関こそ、本来、セキュリティ対策には力を入れるべきだが、民間企業よりも対策が後手に回っているのが現実だ。

 

サイバーセキュリティ対策が後手を踏む理由

 

 それでも、過去にさまざまな事件が起き、それに対応するために多額のコストがかかる現実を踏まえ、流出を未然に防ぐべく、セキュリティ強化に踏み切るケースが増えている。

 それでも今年に入ってからも森永乳業やプレミアム・アウトレット、GMOぺパポなどで不正アクセス等による情報流出が起きている。最近の流出事件の特徴は、流出したデータがどこに流れ、どう使われているかまるで分からないことだ。

 以前のように企業を脅迫するために使われたのなら、対策の取りようがあるが、黙って利用されたのでは、手の打ちようがない。しかも表面化した事件以外でも、誰も気づかないままデータが流出し続けている。

 先日、野村総合研究所が発表した「サイバーセキュリティ傾向分析レポート」では、「ウインドウズ7を使い続けていることが脆弱性の一因」と指摘している。後継OSのウィンドウズ10は7に比べはるかにセキュリティ機能が強化されているが、人的・金銭的リソースが不足しているため、10への移行が進まない現実がある。

 今、「働き方改革」の必要性が叫ばれている。そのひとつとして、働く場所を選ばないテレワークの推進も掲げられている。働く人が、働きやすい好きな場所で仕事をするには、外部の端末からインターネットを経由して会社のシステムやクラウドに接続する必要がある。

 一時、会社のデータを持ち帰り、そこから外部に流出する事件が相次いだため、多くの企業がデータ持ち出し禁止の規定をもうけたが、テレワークはその規定を骨抜きにする可能性がある。働き方改革を進めるためにも、さらなるセキュリティ対策が求められる。

 また、IoTにより、あらゆるものがインターネットにつながる時代を迎え、それに伴いIoT機器を狙ったサイバー攻撃が増えてきている。今後通信が5G時代を迎えると、通信量は飛躍的に増える。それは同時にリスクを高めることでもある。

 悪意を持ったハッカーたちは、セキュリティの穴を探し出しては不正アクセス攻撃を仕掛けてくる。冒頭にあげたGDPRの例を持ち出すまでもなく、今後はさらに情報管理に対する要求は高まっていく。要求に応えられない場合は、世界の市場から追い出されるだけに、対岸の火事視している場合ではない。

 

【サイバーセキュリティ】の記事一覧はこちら

【マネジメント】の記事一覧はこちら

雑誌「経済界」定期購読のご案内はこちら

経済界電子版トップへ戻る

関連記事

好評連載

銀行交渉術の裏ワザ

一覧へ

融資における金利固定化(金利スワップ)の方法

[連載] 銀行交渉術の裏ワザ(第20回)

銀行交渉術の裏ワザ

[連載] 銀行交渉術の裏ワザ(第19回)

定期的に銀行と接触を持つ方法 ~円滑な融資のために~

[連載] 銀行交渉術の裏ワザ(第18回)

メインバンクとの付き合い方

[連載] 銀行交渉術の裏ワザ(第17回)

銀行融資の裏側 ~金利引き上げの口実とその対処法~

[連載] 銀行交渉術の裏ワザ(第16回)

融資は決算書と日常取引に大きく影響を受ける

元榮太一郎の企業法務教室

一覧へ

社内メールの管理方法

[連載]元榮太一郎の企業法務教室(第20回)

企業法務教室

[連載]元榮太一郎の企業法務教室(第19回)

タカタ事件とダスキン事件に学ぶ 不祥事対応の原則

[連載] 元榮太一郎の企業法務教室(第18回)

ブラック企業と労災認定

[連載] 元榮太一郎の企業法務教室(第17回)

電話等のコミュニケーション・ツールを使った取締役会の適法性

[連載] 元榮太一郎の企業法務教室(第16回)

女性の出産と雇用の問題

本郷孔洋の税務・会計心得帳

一覧へ

税務は人生のごとく「結ばれたり、離れたり」

[連載] 税務・会計心得帳(最終回)

税務・会計心得帳

[連載] 税務・会計心得帳(第18回)

グループ法人税制の勘どころ

[連載] 税務・会計心得帳(第17回)

自己信託のススメ

[連載] 税務・会計心得帳(第16回)

税務の心得 ~所得税の節税ポイント~

[連載] 税務・会計心得帳(第15回)

税務の心得 ~固定資産税の取り戻し方~

子育てに学ぶ人材育成

一覧へ

意欲不足が気になる社員の指導法

[連載] 子どもに学ぶ人材マネジメント(第20回)

子どもに学ぶ人材マネジメント

[連載] 子どもに学ぶ人材マネジメント(第19回)

子育てで重要な「言葉」とは?

[連載] 子どもに学ぶ人材マネジメント(第18回)

女性社員を上手く育成することで企業を強くする

[連載] 子どもに学ぶ人材マネジメント(第17回)

人材育成のコツ ~部下の感情とどうつきあうか~

[連載] 子どもに学ぶ人材マネジメント(第16回)

人材育成 ~“将来有望”な社員の育て方~

ビジネストレンド新着記事

注目企業

一覧へ

総合事業プロデューサーとして顧客と共に成長する―中尾賢一郎(グランドビジョン社長)

広告やマーケティング、ブランディングを事業プロデュースという大きな枠で捉え、事業が成功するまで顧客と並走する姿勢が支持されているグランドビジョン。経営者の思いを形にしていく力で、単なる広告代理店とは一線を画している。 中尾賢一郎・グランドビジョン社長プロフィール &nb…

中尾賢一郎(グランドビジョン社長)

人材戦略を経営の核に成長する駐車場ビジネスのプロ集団―清家政彦(セイワパーク社長)

「PCのかかりつけ医」として100年企業への基盤構築を進める―黒木英隆(メディエイター社長)

新社長登場

一覧へ

森島寛晃・セレッソ大阪社長が目指すクラブ経営とは

前身のヤンマーディーゼルサッカー部を経て1993年に創設されたセレッソ大阪。その25周年にあたる2018年12月に社長に就任した森島寛晃氏は、ヤンマー時代も含めて通算28年間セレッソ一筋、「ミスターセレッソ」の愛称を持つ。今も多くのファンに愛される新社長が目指すクラブ経営とは。聞き手=島本哲平 Photo=藤…

カリスマ創業者の後任として描く「新しいマネックス証券像」― マネックス証券社長 清明祐子

「若者需要の開拓でビール市場を盛り上げていく」塩澤賢一(アサヒビール社長)

イノベーターズ

一覧へ

20歳で探検家グランドスラム達成した南谷真鈴さんの素顔

自らの手で未来をつかみ取る革新者たちは、自分の可能性をどう開花させてきたのか。今回インタビューしたのは、学生でありながら自力で資金を集め、世界最年少で探検家グランドスラムを制した南谷真鈴さんだ。文=唐島明子 Photo=山田朋和(『経済界』2020年1月号より転載)南谷真鈴さんプロフィール&nbs…

南谷真鈴

シリコンバレーへの挑戦が生んだ「起業家と投資家が待ち望んだサービス」― 戸村光・ハックジャパンCEO

「測量美術」が起こす道路工事のイノベーション―草木茂雄・エムアールサポート社長

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 …

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2020年1月号
[特集] 新しい街は懐かしい
  • ・「街の記憶」で未来をリノベーション
  • ・日本橋が「空を取り戻す」水辺と路地がつながる街へ
  • ・水辺はエンタメの宝庫だ 大阪が目指す観光客1300万人
  • ・街の誇りを取り戻せ 名古屋・堀川復活プロジェクト
  • ・なぜ水辺に都市が栄えるのか
  • ・2020以降は海と川がさらに面白くなる
  • ・「住む」と「働く」両方できるが求められている(たまプラーザ)
  • ・「土徳」が育む一流の田舎(南砺市)
  • ・音楽ファンが集う街づくり
[Special Interview]

 辻 慎吾(森ビル社長)

 東京が世界で勝ち抜くために必要なこと

[NEWS REPORT]

◆飛びたくても飛べないスペースジェットの未来

◆エンタメが街を彩る 地方創生に挑むポニーキャニオン

◆問題噴出のコンビニをドラッグストアが抜き去る日

◆始まった自動車世界再編 日本メーカーはどう動く?

[特集2]

 経済界福岡支局開設35周年記念企画

 拓く!九州 財界トップが語る2030年のかたち

ページ上部へ戻る