ベネッセの顧客情報約3,504万件が漏えい
学生や子供向けの通信教育で有名な大手ベネッセコーポレーション。同社の大規模な個人情報流出の発覚は、とりわけ、同社のサービスに接する機会が多い子育て世帯には大きな衝撃を与えました。
個人情報漏えいの概要
ベネッセは、ハガキやイベントなどを通して収集した個人情報を保管するデータベースの保守を、子会社のシンフォームに委託していました。シンフォームはさらに複数の会社に再委託していて、そのうち一社の委託社員のシステムエンジニアが同データベースの管理に携わり、業務上の立場を利用し、顧客情報を持ち出しました。
持ち出された個人情報は、複数の名簿販売業者に売却・転売され、ジャストシステムやECCなど、教育関係企業をはじめ多くの事業者の手に渡り、利用されました。
流出した個人情報の内容は、会員登録する保護者や子供の氏名、住所、電話番号、生年月日、性別、メールアドレス、出産予定日など。
ベネッセは当初、個人情報が最大で約2,070万件漏洩した可能性があると表明していましたが、後の調査で漏洩件数が約3,504万件にのぼることが分かりました。
個人情報流出から犯人逮捕まで(時系列)
2013年7月~8月
委託社員のシステムエンジニアが私用のスマートフォンを貸与されたパソコンに接続して顧客情報をコピーして個人情報の持ち出し、名簿販売業者への販売を開始する。
2014年1月ごろ
名簿販売業者パン・ワールドがベネッセから流出した顧客情報を含む名簿を同業者より購入する。
2014年2月~5月
英会話学校ECCが、ベネッセから流出したと疑われる個人情報を含む約7万5,000件を名簿販売業者フリービジネスから購入。名簿顧客約1万9200人にダイレクトメールを送付する。
2014年5月
パン・ワールドから同業社の文献社に名簿が販売され、さらに通信教育大手ジャストシステムに転売される。
2014年6月
- ジャストシステムが名簿顧客にダイレクトメールを送付し、通信教育教材「スマイルゼミ」の販促を開始。
- SNS上で個人情報の流出を疑う書き込みが多数行われ、ベネッセ側への問い合わせが急増する。
- 27日、ベネッセが社内で全面調査を開始する。
2014年7月
- 7日、ベネッセは個人情報の漏えいを確認したことを受け、危機管理本部を発足させる。また、外部セキュリティ会社ラックがデータベースの脆弱性調査を始める。
- 9日、ベネッセは記者会見で、最大約2,070万件の個人情報が漏えいした可能性があることを発表。そして同日より警視庁が事件の捜査を開始する。
- 10日、ジャストシステムは報道を受け、当該情報の利用について、ベネッセから流出した個人情報であることを認識しておらず、自社の手続きに不正はないとコメント発表。
- 15日、ベネッセは個人情報の流出が内部犯行であることをほぼ突き止め、刑事告訴を行う。
- 16日、流出した個人情報は多数の業者間で流通し、複数のルートで約10社に漏えいしていることが明らかになる。
- 17日、ベネッセは被害者への補償として200億円を充てると発表。
同日、警視庁は、個人情報を流出させたシステムエンジニアを家宅捜索のうえ、不正競争防止法違反の疑いで逮捕する。
2014年11月
26日、JIPDECは当該事件の重大性を考慮し、ベネッセのプライバシーマーク取り消しを決定したと発表。
個人情報の漏えいの影響について
この事件の恐ろしいところは、事件が発覚した後も社内から名簿の流出が続いたことです。
犯人は結果的に、合計20回、述べ2億300万件(重複分含む)もの個人情報を売却していました。
ベネッセは、最終的に漏えい件数を約3,504万件としていますが、このような状況を考えると、データに重複やダミーがあったと仮定しても、どこまで正確な数字かは疑問が残ります。
ベネッセはその後、信用失墜による会員減少など大きな影響を受け、2015年3月期通期の連結決算では260億3,900万円を特別損失として計上し、107億円を超える大幅赤字を計上しました。
事故後のベネッセの対応
ベネッセは被害者へお詫びとして、500円の金券を配布すると発表しました。
また、ベネッセは「世界最高レベルの情報セキュリティ」を目指すとし、セキュリティ会社ラックと共同で合弁会社を設立。同社にベネッセグループのシステム保守と運用をさせるとしました。
具体的には、以下のような取り組みを実施するとしています。
1. システムセキュリティの強化
以下、ベネッセの公式サイトより抜粋します。
- システム運用におけるセキュリティ対策(異常を検知するアラート機能の強化 等)
- 不正プログラム感染防止対策(社内から外部への厳重なアクセス制限実施 等)
- 通信ネットワークの保護施策(的確なネットワーク構成の変更や外部アクセスの遮断 等)
- システムや情報へのアクセス制御(権限付与の厳格化、ID・PWの管理強化 等)
2. セキュリティ環境の強化
- 電子機器や記録媒体を出入りさせないため、従業員が入退室する際は金属探知ゲートやボディスキャナー等で検査する。
- 機密情報を取り扱うエリアをレベルに応じて厳密にし、それぞれのエリアに最適化されたセキュリティ対策を実施する。
- ウェブサイトを通じて、可能な限りセキュリティ対策について情報公開を行う。
この事件から言えること
ベネッセはJIPDECからプライバシーマークの認証を受けていましたので、最低限の情報セキュリティ体制は整えられていたと考えられます。それにも関わらず、これほど大規模な漏えいが起ってしまったのは、内部の人間の持ち出しを防ぐのが非常に難しいということ示しています。
いくら物理的に制限しても、個人情報を利用している以上、従業員が情報に触れることは避けがたく、仮に意図的に漏えいさせようとすればいくらでも可能であるとも言えます。
しかしながら、もはや情報セキュリティの重要性は揺るぎないものになりつつあり、これからの企業のあり方として、ベネッセのようにセキュリティ強化の取り組みを継続的に実施し、その企業努力を内外に示し続けることが重要であると言えます。
