ベネッセホールディングス(以下、ベネッセ)は2014年、約2900万人の顧客情報を漏洩させる大規模な個人情報流出事件を引き起こした。以来、同社はサイバーセキュリティ体制の構築にグループ一丸で取り組んできた。一方で、時間の経過と共に新たな課題も生まれてきている。例えば、クラウドやリモートワークが普及したことで、かつてのセキュリティ管理が通用しなくなるといったことだ。そうした変化にベネッセはどう対応しているのか。専務執行役員CDXO(Chief DX Officer)兼Digital Innovation Partners 本部長の橋本英知氏に聞いた。
漏洩による最大の損失は「信頼」を失ったこと
――ベネッセではどのようなセキュリティ体制を構築してきたのでしょうか。
橋本英知氏(以下敬称略) この話をする上で避けては通れないのが、当社子会社の業務委託先社員の持ち出しによって起こった個人情報流出事件です。事件が起こった2014年の該当する事業の営業利益は前年から約220億円減り、通信教育事業の会員数も前年比26%減。数字的な影響もさることながら、最も大きな損失は長く積み上げたお客さまからの信頼を失ったことでした。
当時の初期対策として、いまでは当たり前ですが、個人情報の管理体制を三権分立(「管理」「保守・運用」「利用」で扱う組織を分ける)にしたほか、グループのITセキュリティを担当する機能子会社も設立しました。また、情報管理の執務室に仕切りを作るなど、物理的なゾーニングも行いました。その後も、事故が起きた7月には毎年、社員全員参加のセキュリティデーを開催しています。
――対策の効果はどうだったのでしょうか。
橋本 一定の効果はありましたが、月日の経過とともに課題も出てきました。最たるものは、事故当時を知る社員が減っていくこと。10年弱の間でほぼ半数の社員が入れ替わっています。危機意識の低下を完全に防ぐのは困難だったというのが実情です。
加えて、言うまでもなくクラウドやリモートワーク、外部との共創プロジェクトが増え、単純にオフィスの中を物理的にゾーニング管理する“境界防御”の効果も薄れてきました。さらに2020年からはコロナ禍に突入。これらに対応するセキュリティ体制が必要になり、現在の形へと進化していきます。