ベネッセは個人情報を下請けに扱わせていたのが間違い

ベネッセの個人情報管理システムの運用は

ベネッセ→グループ企業「シンフォーム」→下請け（→孫請け？）

という構造だったようですね。IT業界では珍しくはないです。ただし、個人情報の取り扱いができる人間やその範囲は厳密に限定されるべきものです。下請けでも生データに触れる機会があったとしても、それが暗号化されていれば危険は非常に低くなります。

ベネッセ（シンフォーム？）は個人単位で個人情報DBへのアクセス権限を与えていて、下請けの社員にも個別に与えていたらしいですね。それなりに信用のおける人間だと判断して与えていたつもりなのでしょうけど、それが必要のない運用体制にすれば良かっただけです。

さらに、アクセスログがきっちり残る、一度に大量のデータアクセスはすぐに検知されるなどの安全対策も必要なことです。ベネッセも最低限のことはしていたので誰が持ちだしたかわかったのだと思いますが、漏れて利用されてからの対応では遅いですね。

下請けのせいで済ませてはいけない

最初の会見で「我社のグループ会社の社員ではない。下請けがやった。」と言ったためか、「下請けならしょうがない」的な雰囲気になってるのはどうかと思います。「え、こんな重要な情報なのに下請けにやらせてたの？　あほやろ」というのが正しい。

発注するシンフォームの社員は下請けの社員より有能な人が集まってるはずかだからシンフォームの社員がやれば何も問題ないはずですよね？（にっこり）