ベネッセの個人情報漏洩事件は再発させてはいけない

ベネッセの情報漏洩事件については、あちこちで議論されていますし、ネットニュースの記事やコラムにも多数書かれています。しかし、中にはセキュリティのプロフェッショナルたちが、IT面での対策ばかり書いているのが気になります。自分たちの商売になるように書きたい気持ちは分かりますが、本質は、

「社内に泥棒がいた」

ということなのだと思うのです。泥棒がいるのに、IT面の議論ばかりしていてもしょうがない。問題は、泥棒が入ってきても、あるいは泥棒予備軍の人が入ってきても、そのリスクを犯してまで悪いことをする気になれないようにする、ということなのではないでしょうか。

今回の実態は存じ上げませんが、通常は下請け、孫請け（今回はここの社員）に出すにせよ、相互にNDAは結んでいるでしょうし、社員からも念書程度のものはもらっていると思うのです。それでも犯罪は起きた。

例えば、A社に来るB社のC社員であった場合、B社経由だけでなく、A社がC社員から直接に守秘義務の誓約書を取り付ける。その誓約書には、「故意にやらかした場合は青天井で請求するぞ！」と書いてある。これだけでも、ずいぶんリスクが減るのではないでしょうか。

もちろん、IT面でのセキュリティも大事ですが、セキュリティ事故のほとんどは人的ミスや人間が悪いことをした場合。であれば、教育を含めた対策で事前に防止することを再優先にすべきだと思うのです。システム屋さんの言いなりにならない。そういう判断が必要だと思う今日この頃です。