日々の出来事の中で、企業の“あるべき”と“やってはいけない”を考える〜大関暁夫の言いっぱなしダイアリー〜

問題はベネッセよりもジャストシステムにあり、と思われる件
2014-07-11
http://blog.goo.ne.jp/ozoz0930/e/47df439c862e74e0399c91386738c0f8?fm=entry_awp

（全文転載）

ベネッセコーポレーションから顧客情報760万件が流失した一件、利用者の立場からはベネッセの情報管理はどうなっているのかという怒りの言葉が出るのは当然であり、ベネッセは被害者でありながらもこの点から責めを負うべき立場にあるのは論を待たないところです。

しかしこの事件の概要を知るにつけ、私がもっとも大きな問題ありと感じているのは、被害者であるベネッセよりもむしろその漏えい情報を購入してDMを打っていたジャストシステムの方です。ジャストシステムは、「スマイルゼミの拡販DMに利用する小中学生のリストが欲しい」と武蔵野市の名簿業者に依頼しこの漏えい情報230万件を入手し、実際にDMを実施します。そのことがベネッセの利用者の不審を買い、今回の事件発覚の大きなきっかけになったと言います。

ジャストシステムと言えば、ワープロソフト「一太郎」やかな漢字変換ソフト「ATOK」で知られる東証１部上場企業です。「一太郎」は90年代に一世を風靡したものの、その後はマイクロソフトの「Word」に押される形で苦境に陥り、キーエンスの傘下に入ることで近年は教育分野に事業を広げ業績は急回復していました。その教育分野で特に目覚ましい伸びをみせていたのが、小学生向けタブレット通信教育システム「スマイルゼミ」であり、今回の漏えい個人情報もこの商品の拡販に利用されたのです。

もちろん、法的には「違法に流失した個人情報とは知らずに購入した」のであるなら、ジャストシステム側に違法性はないことにはなりますし、同社はそのようにHP上で公言してもいます。しかし、230万件もの大量の小中学生情報が名簿業者から提示された際に、「この情報に違法性はないのか」と思うのは企業としての常識的な判断であり、少なくとも名簿情報の出所についての合法性の確認をとった上で購入を決めるのは当然のこと。一部上場企業が、もしもそんなコンプライアンス意識もなく行動していたとしたら呆れる他ありません。

もちろん、個人的にはジャストシステムは違法性のある名簿情報と分かった上で購入していたと思っています。もっと言えば、ベネッセの利用者の顧客情報であるという情報を得ていたからこそ、この230万件もの名簿情報を多額のコストを払ってでも購入したのではないかという確信犯ですらないのかと思えています。だいたいが、仮に合法的なやり方であったとしても、個人情報保護法下で名簿業者から大量の個人情報を購入してそれを元にDMをうつなどというのは上場企業のあるべき経営モラルから見ていかがなものか、と思えてしまうのですが、いかがでしょう。

いずれにしましても、ジャストシステムは早急に記者会見を開いて、疑惑に対してそのいきさつの詳細等を明らかにする説明責任があると考えます。仮に本当に情報の出所について知らなかったとしても、ライバル企業の個人情報御使ってDMを実施していたことは曲げようのない事実であり、HP上でひと言のお詫びもなく「うちへの疑惑はお門違い」的なコメントだけで済まそうと言うのは、危機管理広報としても完全に間違った判断であると断言できます。

ジャストシステムは、株価が昨日ストップ安を付けたと言う市場の反応を重く受け止めて、この一件は真摯な対応をとらなければ企業の存続すら危うくする事態であると一刻も早く気がつくべきでしょう。

http://jbpress.ismedia.jp/articles/print/41376
私についての情報は、誰が、どこで利用するのか 個人情報という価値の高い「流通商品」
2014年08月06日（Wed） 川口マーン 惠美
　オンラインでホテルを予約したのは、2カ月以上も前のことだ。出発が近づいてきたので、道順や所要時間を確認しようと思い、グーグルマップに目的地を入れた。すると、地図上の目的の地点に、「○月○日から○○ホテルに2泊」という表示が出た。一瞬、「え？　なぜ知ってるの？」と唖然。私の行動予定をグーグルが把握している。

　そういえば、パソコンを使っていてアレッと思うことは、割としょっちゅうある。例えば、冷蔵庫が必要になってネットで探すと、そのあと、ネットサーフィンの最中に続々と冷蔵庫の広告が入る。そして、冷蔵庫の購入後は、広告は来なくなる。頭の中を覗かれたような気分だ。

各種のカードから流れ出す個人の生活情報

グーグル「忘れられる権利」要請7万件超、大手メディアにも影響
インターネット上での「忘れられる権利」を認める判決を受け、米検索大手グーグル（Google）が欧州の利用者を対象に5月30日に受け付けを始めた個人情報の削除要請が、7万件を超えたことが7月3日、分かった〔AFPBB News〕

　前述のグーグルマップのことを長女に話したら、彼女は、「グーグルは何でも知ってるのよ」といともあっさりと言った。そういえば彼女は、生活情報が筒抜けになることを嫌って、各種のポイントカードも一切使わない。

　それに比べて私ときたら、あちらのポイントカード、こちらのメンバーズカード、そして、何の役に立つのかも分からないようなカードまで、お財布の中にどっさりある。

　ただ、その私も、クレジットカードだけはほとんど使わなくなった。以前、ソウルで乗り継ぎをしたときにカードを空港で使ったら、その直後、2件の不正使用が見つかり、嫌気が差したからだ。いちいち明細を見て、本当に使ったかどうかを確かめるのは、この上なく面倒くさい。忘れてしまっているものもある。

　当時、なぜ不正を発見できたかというと、私が、行ってもいないイギリスで買い物をしたことになっていたからだ。これが日本やドイツの店だったなら、見逃していただろう。見逃しても不思議でないほどの、ちょうどいい金額でもあった。それ以来、こんな面倒なものはいらない！と思い、ほとんど使わない。4枚あったのも1枚にした。

　しかし、たとえクレジットカードを駆逐しても、他のカードを使えば情報はどんどん漏れる。ポイントカードというのは、ポイントがたまるお店が多いカードほど、便利で得をしたような気分になるが、これが曲者。

　お店がポイントカードを出す目的は、お客に利益を還元することではなく、言うまでもなく、お客の個人情報の収集だ。カードが広範囲に使われれば使われるほど、その顧客の情報は完璧なものになっていく。しかも、収集され、解析された情報はそこに留まらず、販売される。本人が知らないうちに情報は拡散されるのである。

　最近、買い物をして、ポイントカードを出すたびに、いったい私という人間について集められている情報はどんなものなのだろうかと想像する。名前、生年月日、メールアドレスは、カードを作るときに開示している。たいてい、住所、性別、電話番号、家族構成なども。

　それにいろいろな情報が加わっていく。使う航空会社はどこ、買い物はどこ、趣味は何、どこのホテルに泊まり、どこのレストランで何を食べるかなどという情報は、難なく収集できるだろう。

　1年に何度もドイツと日本を往復するというのは、かなり特殊な行動様式のはずで、あまり役に立たない情報？　買い物の傾向はもちろんすべて丸見え。洋服は日本で購入、靴はドイツ。ブランド品を買う癖はないが、ときどき映画とオペラに行き、よくオンラインで本を買う。コーヒーは日常必需品、ワインの消費が若干多い・・・？

　すごい！　まるで私の家計簿ではないか。お金の出納を管理することが極力苦手で、未だに自分が毎月、何にいくらお金を使っているかということが一向に把握できない身の上としては、料金を払ってでもいいから、一度見せてもらいたい気がする。

　いや、そんなのんきなことを言っている場合ではなかった。今、挙げた程度の情報なら、別にどうってことはないが、問題はその先だ。この情報収集が、将来、いったいどこへ向かっていくのかが見えない。

情報技術の発達の先には罠が待っている？

　個人情報などという言葉が流行っているが、何のことはない、実際は、個人情報は保護されず、独り歩きしている。現代社会において、情報は非常に価値の高い流通商品なのである。

　ドイツ人は、個人情報についてとりわけ神経質で、国勢調査まで否定しようとするお国柄だ。その意識はまことに高いと思うが、しかし、覗かれている事実は変えられない。

　現在、ドイツで大問題になっているアメリカの情報収集しかり。メールも、フェイスブックも、スカイプも、皆、その中身が収集されていたという。最近のアンケートでは、ドイツ人のアメリカ人に対する信頼度は、急激に落ちてしまった。

スノーデン暴露が世界に及ぼした不安
元CIA職員のエドワード・スノーデン容疑者による数々の暴露は、米当局の世界的なスパイ行為を暴き、監視国家に対する恐怖を呼び起こした〔AFPBB News〕

　いずれにしても、情報の漏洩は、すでに抵抗しようのないところまで進んでいるのではないか。繰り返すようだが、これが将来、私たちにどういう結果をもたらすのかが分からない。

　国家にすべて統制されるという、警察国家的な方向に行かないという保証もない。リベラルな考えの極めて強いドイツ人が、情報技術の発達に夢中になっているうちに、監視統制の罠に落ちるとしたら、あまりにも皮肉な話ではないか。

　ビッグデータという言葉をよく聞く。巨大で複雑なデータ集合の集積物を表す用語だ。そんな雑多で膨大なデータ群など、これまではさほど重要視されていなかったが、今では急に宝の山となりつつある。

　ビッグデータの特徴は、数が膨大で、種類も膨大で、しかも、頻繁に変化するということだそうだ。つまり、数値や文字列だけではなく、文章、音声、動画、メール、ひいては、いろいろな機器が発するデータなど、すべてが含まれる。

　そこから、質の良い、利用可能な情報を抽出し、解析し、分析し、最終的に可視化する。それらが最終的に、商品開発の傾向や、研究の品質決定、疾病予防、犯罪防止、リアルタイムの道路交通状況判断など、様々なことに利用される。

　会員数が8億人を超すと言われているフェイスブックなども、ここに潜む情報は膨大な付加価値を持つのだろう。

　日本でも、最近、通信教育の大手ベネッセにおける顧客情報流出事件が起こった。外部から雇われていたシステムエンジニア（39歳）が、ベネッセ社の顧客情報を自分のスマートフォンに取り込んで売却したというが、現在分かっているだけで、情報総数が約2260万件。ちょっと想像できない数だ。そんな大量の情報を、スマホに取り込めるということさえ、私には驚きだった。いずれにしても、情報は商品なのだ。

　受験生用のソフトを売ろうとする会社がベネッセの情報を入手したなら、どの家庭が受験を控えた子供を持ち、教育に熱心で、経済力があるかということが特定できる。そうなれば、ダイレクトメールも、しらみつぶしに老人家庭にまで送る必要はない。当然のことだが、魚を釣るには、釣り堀でやるのが一番だ。

　とはいえ、このような利用の仕方は、私にも理解できるということで、まだまだ他愛無いものなのだろう。情報利用の真の姿は、残念ながら素人にはよく見えない。

技術の進歩で便利になることと裏腹の恐怖感

　最近、この20年の技術の進歩はあまりにも早過ぎたという恐怖感のようなものに囚われるときがある。しかも、そこには、その進歩は良くない方向に向かっているのではないかという、ほぼ確信に近い疑問が伴う。

　近い将来、ドイツでは家庭の全電子化が始まり、家電製品たちは自分で考え、家政を管理してくれるようになるそうだ。冷蔵庫は足りない物を注文し、エアコンは帰宅する頃にちょうどいい室温を提供してくれる。ということは、能力のあるハッカーなら、そこに不法に割り込んで、それらを遠隔操作することだってできるのだろう。やっぱり怖い・・・。

　車は便利な物で、私でも使いこなせる。だからといって、自分で造れと言われればお手上げだが、少なくとも、エンジンがどういうふうに機能するのかは学校でも習ったし、動かなくなれば、私でもその原因を想像することぐらいはできる。これは電気系統かな、それともエンジントラブル、あるいは、単なるガス欠とか。

　コンピューターも便利で、特にインターネットには絶えず世話になっている。一瞬でこの原稿を日本に送れるなど、20年前には想像もできなかった。調べ物もあっという間だ。だから、使いこなしていると言えば、言える。

　ただ、私がこれらによって、私とまるで無関係の場所、それも世界中のネットワークに繋がっているかと思うと、とても不気味に思えてくる。

　そもそも、インターネットもパソコンも、なぜ機能するのかが全く分からないのだ。買った時点でパソコンに罠が仕掛けてあっても、もちろん分からない。動かなくなれば、私の場合、そのまま救助を待つしかない。

　つまり、こういう状態を、“使いこなす”と言えるかどうか？　技術の進歩に関しては、そのうち、思いもよらない大きなツケがくるような気がする。まず、皆がここまでインターネットの中毒症状に陥ってしまっているのも、ひょっとすると、もう、罠にはまってしまっている証拠かもしれない。

社内サイコパスの特定を請け負う企業も登場している Shutterstock.com
　企業は会社のお金やデータ、同僚らを危険にさらす可能性のある問題社員をうまく見つけ出す方法を探している。

　もちろん大半の経営者は問題社員をそもそも雇いたくないと思っている。しかしサイバー攻撃の多発や、不満を抱える社員や退職した元社員が「重大なサイバー攻撃の脅威をもたらす」可能性があるとの連邦捜査局（FBI）の警告を受けて、経営者は「腐ったリンゴ」を取り除くためにスクリーニング（適性検査）の強化や、新たな技術の導入などを試みている。

　従業員はさまざまな面で会社の重荷になり得る。インサイダー取引、経費や給与の水増し請求、贈収賄、恐喝といった行為のほか、単純に非生産的であることも問題だ。データへの不正侵入が一般的になるにつれ、従業員のネットワーク上での行動を監視し、危険な動きを特定する手助けを行うセキュリティー関連会社が登場してきた。

　「腐ったリンゴ」を取り除く動きは大きなトレンドになりつつあるが、従業員のコンピューター上での行動分析という技術が使われるようになってきた。仕事場での適性テストは年間5億ドル（約540億円）規模の市場になっている。例えば私欲のために他人を踏み倒したり、同僚を脅したりといった性質や、不誠実さ、共感力の欠如などといった「サイコパス（精神病質者）的」な要素を持った採用候補者や社員を見分けることも狙いの一部だ。

　テクノロジー面での取り組みを追加する価値はあるかもしれない。FBIによると、従業員によるサイバー攻撃により企業が受ける損害は5000ドルから300万ドルに及ぶ。こうしたサイバー攻撃にはデータやソフトウエアの窃盗から、会社のウェブサイトへの妨害などが含まれる。

　社内の脅威から企業を守る事業を手がけるパーソナム社（バージニア州）の創業者兼最高経営責任者（CEO）クリス・カウフマン氏によると、特に大衆向けの事業を行う企業に、サイバーセキュリティー予算に内部の脅威に対処するための項目を入れるケースが出てきたという。「企業は内部の脅威を非常に意識しており、かなり懸念を持っている」。同社の顧客には金融サービス企業、法律事務所、ヘルスケア関連企業などが含まれる。

　パーソナムは従業員の行動プロファイルを作成する。同じような業務を行っている従業員の作業を基準として利用し、データベースの作業に不当に時間を使っていたり、無許可で不自然な時間帯に作業をしていたり、古いデータをダウンロードしていたりする人物を見つけ出す。

　カウフマン氏は「内部の犯罪者は違法行為に完全に移行するわけではない。彼らは自分の業務をし続けている」と言う。「われわれの技術は彼らの小さな行動の変化や、彼らと緊密に仕事をしている人たちとの違いを捉えるために作られた」

　社内の脅威となるような従業員はたいてい、入社当初からそんなふうではない。専門家によると、大半の人は会社から何かを盗むつもりで仕事を探すわけではない。犯罪行為は数カ月もしくは数年後に始まる。昇進が見送られたり、上司に人前で激しく非難されたりといった人生を変えるような出来事がきっかけになる。

　フォレンシック・コンサルタンツのデービッド・バーンスタイン社長はヘッジファンドからバイオテク企業まで年間約100社のコンサルティング業務を手がけている。顧客企業が人材を採用する際、将来インサイダー取引や妨害行為を行う可能性のあるサイコパス的な傾向を持った人物を特定する作業をバーンスタイン社長は手伝う。忠誠心や共感力の欠如、人を操りたがる傾向、精神障害など、倫理的な境界線を侵しかねない要素を持った性格的特徴を探すのだ。

　サイコパスを雇うことに伴う従来のリスク――同僚を危険にさらしたり、会社を法的問題に巻き込むような違法行為を行ったりするリスク――に、今やコンピューターへのハッキングという恐れが加わった。

　バーンスタイン氏は「今は誰もがネット上に存在する」と指摘する。サイバー犯罪者や会社の業務を意図的に妨害する従業員は、金が目当てだ。「彼らは会社のことは気にも留めていない。忠誠心はまったくない」

　FBIは企業に対し、従業員が何にアクセスしているかを定期的に検査し、業務に必要ないシステムへのアクセスは排除するよう勧めている。また、第三者のサービス提供企業を常に社内に関与させ、社内コンピューターへのインターネットを介したアクセスを制限し、パスワードの再利用を禁止することもアドバイスしている。
http://jp.wsj.com/news/articles/SB12072851737206304029704580239782837248238#printMode

http://www.yomiuri.co.jp/it/20141120-OYT1T50012.html?from=y10
無線ルーターからＩＤ流出…中国向けサーバー
2014年11月20日 08時52分

　中国の利用者向けの「中継サーバー」がインターネットの不正接続に悪用された事件で、警視庁に摘発されたサーバー運営会社２社が使用した他人名義のＩＤやパスワードの大半が、パソコン周辺機器メーカー大手の無線ルーターから流出したものだったことが、同庁幹部への取材でわかった。

　同庁と京都、鹿児島など１９道府県警の合同捜査本部は１９日、サーバー運営会社の中国人ら１１人を不正アクセス禁止法違反容疑などで逮捕したと発表。ＩＤなどの入手経路を追及する。

　警視庁はこのうち、中継サーバー運営会社の「大光」（東京都台東区）、「ＳＵＮテクノ」（豊島区）の２社の関係先１２か所を捜索。大光社長の張徳育容疑者（３０）（北区）ら男６人を、いずれも不正アクセス禁止法違反容疑で逮捕した。６人は「わかりません」などと容疑を否認している。

　警視庁幹部によると、２社は大手プロバイダー（ネット接続業者）のサーバーに接続するため、約１５００人分の他人名義のＩＤやパスワードを保有。同庁がＩＤなどの名義人に照会したところ、その大半がパソコン周辺機器メーカー大手「ロジテック」（東京）製の無線ルーターの利用者だったことがわかったという。