経営者が学ぶべきは情報システムではなく、安易な外注を戒めること。

IT

ベネッセの個人情報の漏洩について、日経新聞が社説でだいぶ的外れなことを言っているので指摘しておきます。

まず情報漏洩の原因として不正アクセスでなく「社員以外の関係者」が持ち出したとしている点だ。(中略)

漏洩が起きたのは昨年から今春にかけてだが、警察に被害届を出したのは原田泳幸会長兼社長が就任した後の6月末だ。なぜもっと早く対応できなかったのか。(中略)

大量のデータを一括処理できる情報技術の登場により、情報漏洩の規模は拡大している。同じような過ちを避けるには、経営者も情報システムについて学んでいく必要があろう。

出典;(日経新聞 2014年7月11日付 社説

 今回の情報漏洩は、今のところ「社員以外の関係者」が意図的に情報を持ち出したとされています。つまり情報システムの設計ではなく、運用する人間の問題です。社説では不正アクセスではない点を「納得いかない」と言っていますが、情報漏洩事件における内部犯の割合を鑑みれば、なんら不思議な事例ではありません。

また、情報漏洩の時期から対応まで時間がかかっていることを批判していますが、漏洩時期が判明したのはごく最近のことです。ベネッセの発表している経緯を見る限り、顧客からの問合せが急増した翌日には企業トップまでエスカレーションが行われ、調査が開始されています。その翌日は土曜日でしたが、社長を本部長とする対策本部も設置されています。この発表を信じる限りにおいては、対応が著しく遅いとは言えないでしょう。

情報漏洩を自社で検知できなかったという点を批判することは出来るでしょうが、外部委託した会社にそこまでのアクセス監査をさせるのは難しいでしょう。

そもそも、情報システムの運用を安易に外部委託することに問題があると考えます。確かに企業運営上は適切にアウトソーシングサービスを利用することでコストを削減する必要はあるでしょうが、ベネッセにとって最重要なはずの顧客データベースの管理を外部に委託することは経営上適切な判断でしょうか?

情報システムの運用はコストがかさみ、一見すると日々の作業はルーチンで利益も生まないことから、外部委託されやすい存在です。ベンダーやSIerは情報システム運用のフルアウトソーシングサービスを売ることに熱心ですが、企業は安易にそれに乗せられるべきではありません。

情報システム業界においてひとたび外部委託すれば、さらなる外部委託や派遣社員による運用は免れません。下請け・孫請けの多重構造が情報システム業界の現実です。そのような業界に自社の最重要リソースを預けるかの判断こそが、経営者が行うべき仕事です。

直近のベネッセHDの時価総額は4000億円強ですが、株価を見る限り今回の事件で1割近い時価総額が失われています。もちろん顧客の信頼も失われたでしょうし、ブランド価値も毀損したはずです。

自社で管理したからといって情報漏洩しない保証はありませんが、外部委託するのとどちらが今後より安全なのかを考えるのが、原田氏の仕事ではないでしょうか。

タイトルとURLをコピーしました