経済産業省は、クレジットカード情報を扱うのに必要なセキュリティ対策をしていなかったとして、決済代行業に割賦販売法に基づく業務改善命令を出しました。サイバー攻撃により、約４６万件のカード情報が流出した可能性がある事案でした。被害を受けた事業者への処分は初めてですが、本来の被害者は個人情報の所有者ですから、個人情報保護を疎かにして事故にあった企業には、加害者相当の法定罰が下される可能性が出てきました。

のちに公表されたの第三者委員会の調査でも、この事業者の経営層はセキュリティリスクを正しく認識しておらず、さらに、企業風土としても、必要以上にコスト削減を優先すべきとする傾向（効率優先の意識）や、情報セキュリティに関する知識の欠如や意識の低さが伺われるとしています。

　まるで、会社全体が効率優先という安全軽視のスピード違反の強要、コスト削減優先というすり減ったタイヤでの運行強要を進める企業風土だったように読み取れる第三者委員会の調査報告書です。

第三者委員会の調査で指摘されたシステム環境の観点からの直接的な原因は次の通りです。あなたの会社でひとつでも該当していると、不正アクセスなどで個人情報が漏えいすると、あなたの会社も非難を受ける可能性があります。

システム環境

１ ログの日次点検の未実施
２ アプリケーションレベルのセキュリティ対策の不備
３ セキュリティ診断の前提条件が5年間もあいまいのまま。
４ 不正アクセスに対するリアルタイム検知ないし防御の不備
５ セキュリティレベルに沿ったデータベース区分が未分離のまま
６ セキュリティアラートに対応する要員の不足と影響範囲調査の体制不備
７ インターネット経由での管理画面へのアクセス制限とログイン認証の不備
８ 侵入された場合の遮断対策などの緊急対応体制の不備
９ サーバ内に常駐するアプリケーションの動作管理の不備
10 情報漏えい事象発生時の影響範囲を特定するシステムの未導入

管理環境

１　内部管理部署の役割が不明確で機能していない（管理部門による牽制不十分）
２　情報セキュリティ対する内部監査の機能不全（内部監査部門による検証不十分）
３　システム担当部署における業務の属人化（システム部門のブラックボックス化）
４　業務引継体制の不整備（引き継がれない業務の放置）

ルールの形骸化

１　外注業者選定基準の形骸化
２　リスクアセスメントの形骸化・不徹底
３　ガバナンスの不備
４　効率優先の意識
５　セキュリティ意識の低さを放置する従業員教育の不備

役職員のリスク認識の低さを指し示す事象

１　情報セキュリティ対策の基本的な対応が自律的に実行管理できない。
２　教育指導が不足し、社内のセキュリティ意識が醸成されていない。
３　情報セキュリティ国際基準に関するレポートの不都合な箇所を除くなどの、情報保護意識の欠如
４　社内に蔓延する不都合な真実への内部告発行動がおきない社風。

ここから学ぶことは、被害を受けた時に「被害を受けたあなたが悪い」と言われないように、世論に説明できる十分な安全対策を講じていくべきだ、ということです。あなたの会社で対策に手抜かりはありませんか？