マネジメント

多くの企業が喉から手が出るほど欲しがっている個人データ。ビッグデータの時代を迎え、データを収集・分析することで新たなビジネスが生まれている。それだけに、個人データを保護する動きが強まっているが、日本の対策は後手に回る。その結果が、毎年のように頻発する、個人データ流出事件だ。

 

日本のサイバーセキュリティ対策はザル!?

 

 今年5月から、EU域内でGDPRがスタートした。GDPRとは、「EU一般データ保護規制」のことで、個人データの保護を目的としたものだ。

 適用対象はEU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の委託先としてデータを処理する組織)、または、データの主体(個人)となっているが、EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象となる。つまりEU域内でビジネスを行う企業・団体・個人はすべて対象となり、個人データ保護のための対策が義務付けされた。

 義務内容に違反した場合、全世界売上高の4%もしくは2千万ユーロ(約25億円)の高い方が制裁金として課せられる。仮にトヨタ自動車がGDPR義務違反をした場合、制裁金は1兆円を上回ることになる。

 日本の取り組みはEUに比べ遅れているが、それでも昨年5月には改正個人情報保護法が施行され、プライバシー保護に向け一歩を踏み出した。現在も総務省を中心に保護強化の話し合いが続いている。

 ビッグデータは企業のマーケティングに不可欠だ。個人の日常の小さな行動までもがデータとして集積され、そのデータを分析することで新しい商品・サービスが生まれる。今や個人データは企業にとって「宝の山」。活用の仕方ひとつで大きな成長を果たすことができる。

 逆に言えば宝の山だけに、常に漏えい・流出の危機にさらされている。それを証明したのが、今年4月に発覚したフェイスブックの情報流出事件だ。

 これはフェイスブック利用者8700万人分の個人データが不正に第三者に渡されたというもので、これが2016年のアメリカ大統領選挙でトランプ陣営の選挙対策に使われたといわれている。もしこれが事実なら、企業の持つ個人データの流出が世界の政治に大きな変化をもたらしたことになる。

 この流出事件は、04年の誕生以来、右肩上がりの成長を続けてきたフェイスブックにとって大きな痛手となった。株価は一時、15%以上も下げ、ザッカーバーグCEOは米上下院それぞれの公聴会に召喚され、個人データの保護強化を約束させられた。個人データを活用することで成長してきたフェイスブックは、個人データによって窮地に立たされた。

 流出が起きたのはフェイスブックだけではない。13年には米ヤフーから30億件もの個人データが流出している。インターネット上で一度データが流出し、ファイル化されてしまうと、それを消すのは極めてやっかいだ。セキュリティ会社のソリトンシステムズの調査によると、インターネット上でファイル化されている個人データは世界で22億件にのぼるという。

 もちろん日本も例外ではない。むしろ日本は欧米に比べ個人データ保護の意識は弱く、サイバーセキュリティ対策も不十分な企業・組織が多い。

 日本の官公庁のホームページがしばしばハッキングされるのは、危機意識の低さを示している。サイバーセキュリティの専門家から「日本のセキュリティはザルのようなもの。どこで流出が起きてもおかしくない」という声がよく聞かれる。そして実際、数多くの流出・漏えい事件が起きてきた。

 

不正アクセス、サイバーテロによる情報流出・漏えいが増加

 

 日本で個人データ流出が大きく騒がれた事件第1号は、04年にヤフーBBの会員情報660万人分の情報が不正に持ち出され、900人以上、一説には8万6千人の情報が流出、DM配布のデータとして利用された。

 犯人はヤフーBBに出入りしていたエンジニアで、データをUSBメモリにコピーして持ち出した。ソフトバンク傘下のヤフーBBだけに、強固なデータ管理を行っていてもおかしくないが、実際には、社員なら誰でもデータにアクセスできるようになっており、その管理システムの甘さが指摘された。

 この事件では、実際に悪用されたのは持ち出されたデータの一部にすぎなかったが、ソフトバンクは全ヤフーBB利用者に対して500円の商品券を送付した。

 06年にはKDDIで、インターネット接続サービスDION(現au one net)の利用者約400万人の顧客情報が流出した。これはシステム開発を委託された担当者がデータを持ち出したもので、その後犯人はKDDIに対して金銭を支払うよう要求し、恐喝容疑で逮捕された。

 ヤフーBB事件以降、データ流出への関心が高まり、流出させた企業の評判が悪化することを逆手に取った犯罪だった。結局、恐喝は未遂に終わったため、データは悪用されることはなかった。それもあり、KDDIはソフトバンクのような金券送付は行っていない。

 同年、富士ゼロックスも同様の恐喝未遂事件に巻き込まれた。

 富士ゼロックスの子会社、富士ゼロックスシステムサービスは、複数の自治体で戸籍のデータ化に取り組んでいたが、同社の協力会社の社員でもデータに自由にアクセスできたことからこれを悪用、データの入ったノートPCをインターネット上で販売した。このPCを購入した男が、富士ゼロックスシステムサービスを脅迫、逮捕されたことで事件が発覚した。

 このほか、07年にアフラックの顧客情報15万件、契約情報20万件の漏えいなどもあったが、この時代までの流出・漏えいは、データを持っている会社に出入りする人間がコピーやPCを持ち出したケースか、会社のPCを社外に持ち出した際に紛失・盗難に遭い、データが流出するケースが大半だった。

 当時はまだデータ管理に対する認識が甘く、誰でも簡単にアクセスできたり、自由に外に持ち出すことを会社側が黙認していた。しかし事件が度々起きたことで管理が厳しくなり、このタイプの流出・漏えい事件は徐々に減っていく。代わりに増えていったのが、不正アクセス、サイバーテロによる流出・漏えいだ。

 

狙われる日本企業、公的機関―イタチごっこが続く情報流出との戦い

 

 サイバーテロによるデータ流出が表面化した最初の事件は、08年のサウンドハウスが舞台となった。

 同社は業務用音響機器や舞台照明機器をネット通販しているが、中国からのサイバーテロによって、約12万人分のクレジットカード番号を含む個人データが流出した。サウンドハウスにしても、当時の通販会社としてはごく常識手的な防衛策を講じてはいたが、悪意を持った相手に対しては無力だった。この事件以降、個人データを取り扱う会社は、より一層のセキュリティ対策が必要になった。

 しかし同様の事件はその後も続く。10年にはパソコンショップのユニットコムの25万人のクレジットカード情報が不正アクセスにより流出、10年にはサミーネットワークスのオンライトゲームサイトに不正アクセスがあり、173万人の個人データが流出した。

 また、ソニーは11年にグループ全体で1億件を超える情報流出があった。これはソニーオンラインエンタテインメントやプレイステーションネットワークなど、ソニーが展開するインターネットサービスがハッカーたちの標的となり、不正アクセスを受けたもの。当時、ソニーの業績は悪化していたが、そこに情報流出事件が加わり、翌年にはハワード・ストリンガーCEOの退任につながった。

 13年にはヤフージャパンが不正アクセスを受け、最大2200万人のIDが流出、14年には経路不明だがベネッセから最大2千万人の個人データが流出した。日本マクドナルドを成長させ、プロ経営者としての評価も高かった当時社長の原田泳幸氏は、就任早々、事件発覚のトラブルに見舞われた。これで出鼻をくじかれたのか、2年後にはその座を去っていったことは記憶に新しい。

 個人データが流出したのは企業だけではない。

 15年には日本年金機構に対して不正アクセスがあり、基礎年金番号などの個人データ125万件が流出した。原因は職員が電子メールに添付されたウイルスの入ったファイルを開封、ダウンロードしたためとみられている。職員のサイバーテロに対する意識の低さが事件の根底にあった。

 また同年大阪府堺市でも、市民の有権者情報68万件が流出した。これはサイバーテロなどではなく、市職員がデータを自宅に持ち帰り自作の選挙システムを構築。これを外部に売り込むためレンタルサーバーにシステムを保存したところ、公開状態になったというから悪質だ。この市職員は懲戒免職になっただけでなく、刑事告訴され書類送検された(不起訴処分)。

 役所など公的な機関こそ、本来、セキュリティ対策には力を入れるべきだが、民間企業よりも対策が後手に回っているのが現実だ。

 

サイバーセキュリティ対策が後手を踏む理由

 

 それでも、過去にさまざまな事件が起き、それに対応するために多額のコストがかかる現実を踏まえ、流出を未然に防ぐべく、セキュリティ強化に踏み切るケースが増えている。

 それでも今年に入ってからも森永乳業やプレミアム・アウトレット、GMOぺパポなどで不正アクセス等による情報流出が起きている。最近の流出事件の特徴は、流出したデータがどこに流れ、どう使われているかまるで分からないことだ。

 以前のように企業を脅迫するために使われたのなら、対策の取りようがあるが、黙って利用されたのでは、手の打ちようがない。しかも表面化した事件以外でも、誰も気づかないままデータが流出し続けている。

 先日、野村総合研究所が発表した「サイバーセキュリティ傾向分析レポート」では、「ウインドウズ7を使い続けていることが脆弱性の一因」と指摘している。後継OSのウィンドウズ10は7に比べはるかにセキュリティ機能が強化されているが、人的・金銭的リソースが不足しているため、10への移行が進まない現実がある。

 今、「働き方改革」の必要性が叫ばれている。そのひとつとして、働く場所を選ばないテレワークの推進も掲げられている。働く人が、働きやすい好きな場所で仕事をするには、外部の端末からインターネットを経由して会社のシステムやクラウドに接続する必要がある。

 一時、会社のデータを持ち帰り、そこから外部に流出する事件が相次いだため、多くの企業がデータ持ち出し禁止の規定をもうけたが、テレワークはその規定を骨抜きにする可能性がある。働き方改革を進めるためにも、さらなるセキュリティ対策が求められる。

 また、IoTにより、あらゆるものがインターネットにつながる時代を迎え、それに伴いIoT機器を狙ったサイバー攻撃が増えてきている。今後通信が5G時代を迎えると、通信量は飛躍的に増える。それは同時にリスクを高めることでもある。

 悪意を持ったハッカーたちは、セキュリティの穴を探し出しては不正アクセス攻撃を仕掛けてくる。冒頭にあげたGDPRの例を持ち出すまでもなく、今後はさらに情報管理に対する要求は高まっていく。要求に応えられない場合は、世界の市場から追い出されるだけに、対岸の火事視している場合ではない。

関連記事

好評連載

銀行交渉術の裏ワザ

一覧へ

融資における金利固定化(金利スワップ)の方法

[連載] 銀行交渉術の裏ワザ(第20回)

銀行交渉術の裏ワザ

[連載] 銀行交渉術の裏ワザ(第19回)

定期的に銀行と接触を持つ方法 ~円滑な融資のために~

[連載] 銀行交渉術の裏ワザ(第18回)

メインバンクとの付き合い方

[連載] 銀行交渉術の裏ワザ(第17回)

銀行融資の裏側 ~金利引き上げの口実とその対処法~

[連載] 銀行交渉術の裏ワザ(第16回)

融資は決算書と日常取引に大きく影響を受ける

元榮太一郎の企業法務教室

一覧へ

社内メールの管理方法

[連載]元榮太一郎の企業法務教室(第20回)

企業法務教室

[連載]元榮太一郎の企業法務教室(第19回)

タカタ事件とダスキン事件に学ぶ 不祥事対応の原則

[連載] 元榮太一郎の企業法務教室(第18回)

ブラック企業と労災認定

[連載] 元榮太一郎の企業法務教室(第17回)

電話等のコミュニケーション・ツールを使った取締役会の適法性

[連載] 元榮太一郎の企業法務教室(第16回)

女性の出産と雇用の問題

本郷孔洋の税務・会計心得帳

一覧へ

税務は人生のごとく「結ばれたり、離れたり」

[連載] 税務・会計心得帳(最終回)

税務・会計心得帳

[連載] 税務・会計心得帳(第18回)

グループ法人税制の勘どころ

[連載] 税務・会計心得帳(第17回)

自己信託のススメ

[連載] 税務・会計心得帳(第16回)

税務の心得 ~所得税の節税ポイント~

[連載] 税務・会計心得帳(第15回)

税務の心得 ~固定資産税の取り戻し方~

子育てに学ぶ人材育成

一覧へ

意欲不足が気になる社員の指導法

[連載] 子どもに学ぶ人材マネジメント(第20回)

子どもに学ぶ人材マネジメント

[連載] 子どもに学ぶ人材マネジメント(第19回)

子育てで重要な「言葉」とは?

[連載] 子どもに学ぶ人材マネジメント(第18回)

女性社員を上手く育成することで企業を強くする

[連載] 子どもに学ぶ人材マネジメント(第17回)

人材育成のコツ ~部下の感情とどうつきあうか~

[連載] 子どもに学ぶ人材マネジメント(第16回)

人材育成 ~“将来有望”な社員の育て方~

ビジネストレンド新着記事

注目企業

一覧へ

次世代の医療現場を支える病院経営の効率化を推進――保木潤一(ホギメディカル社長)

1964年にメッキンバッグを販売して以来、医療用不織布などの、医療現場の安全性を向上する製品の普及を担ってきた。国は医療費を抑える診断群分類別包括評価(DPC制度)の導入や、効率的な医療を行うため病院のさらなる機能分化を実施する方針を掲げており、病院経営も難しい時代に入っている。ホギメディカルは手術室の改善か…

刺激を浴びて徹底的に考え抜くことで自らを変革する―― 鎌田英治 グロービス 知命社中代表

ワンストップで手厚くサイトの売却をサポートするサイトマ――中島優太(エベレディア社長)

新社長登場

一覧へ

地域に根差した証券会社が迎えた創業100周年―藍澤卓弥(アイザワ証券社長)

中堅証券会社のアイザワ証券は今年7月、創業100周年を迎えた。この記念すべき年に父からバトンを受け継ぎ新社長となったのが、創業者のひ孫にあたる藍澤卓弥氏。地域密着を旗印に掲げてここまで成長してきたアイザワ証券だが、変化の激しい時代に、藍澤社長は何を引き継ぎ、何を変えていくのか。聞き手=関 慎夫 Photo:西…

メディカル事業を横串にすることでシナジーを発揮し、顧客満足度向上へ 伏見有貴(リゾートトラスト社長)

新事業の芽を伸ばすことでさらに大きな個性的な会社を目指す――日髙祥博(ヤマハ発動機社長)

イノベーターズ

一覧へ

日本人の英語学習の課題解決に向け、学習者目線のアプリを開発―― 山口隼也(ポリグロッツ社長)

グローバル化が進む中、多くのビジネスパーソンにとって英語力の向上は大きな関心事の1つ。日本人が相変わらず英語を苦手とする理由と解決策について、英語学習アプリで展開するポリグロッツの山口隼也社長を取材すると共に、同社が提供するサービスについても聞いた。(取材・文=吉田浩)日本でますます高まる英語学習熱  201…

老舗コニャックメゾンがブランド強化で日本市場を深耕――Remy Cointreau Japan代表取締役 宮﨑俊治

リグナ社長 小澤良介 家具のEC販売から様々な展開へ

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸教育部…

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2018年12月号
[特集]
平成 ランキングで振り返る“時代”の経営者

  • ・バブル破裂で顔ぶれ一新 平成人気経営者の系譜
  • ・次の時代を創るリーダーとは?

[Special Interview]

 榊原定征(2025日本万国博覧会誘致委員会会長)

 「誘致決定まで1カ月 大阪万博を日本経済の起爆剤に」

[NEWS REPORT]

◆コンビニ軽減税率適用で激化する「外食VS中食」の戦い

◆「液晶のシャープ」が有機ELスマホを発売 初の国産パネルで攻勢をかける

◆「世界一高い」と認定された日本の携帯料金のこれから

◆チャネル政策を見直すトヨタ自動車の危機感

[特集2]

 北海道・新時代の幕開け

ページ上部へ戻る