ニュース

【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯

2014/07/09
浅川直輝＝日経コンピュータ（筆者執筆記事一覧）

記事一覧へ >>

写真●都内で会見するベネッセHDの原田泳幸会長兼社長

[画像のクリックで拡大表示]

　ベネッセコーポレーションの顧客データベースから漏えいしたことが確実な個人情報は、同社の顧客、あるいは過去に顧客だった世帯約760万件で、保護者および子供の名前（漢字とフリガナ）、住所、子供の生年月日、性別が含まれるという。過去に顧客でなかった世帯は含まれない。

　1世帯を1件とカウントしているため、少なくとも保護者1人、子供1人が含まれるとして、1500万人～2000万人分の個人情報が漏えいした計算になる。漏えいした可能性のある件数まで含めると約2070万件にのぼり、4000万人～5000万人が対象になる計算だ。
　
　ベネッセホールディングス（HD)の原田泳幸会長兼社長は、都内で開いた記者会見で「信頼回復の第一歩として、情報の拡散防止に全力を尽くす」と言明（写真）。全容が判明し次第、ベネッセHD副会長の福島保氏、取締役兼CIOの明田英治氏は責任をとって辞任する。
　
　史上空前といえる個人情報漏えいは、なぜ起きたのか。
　
　ベネッセHDによれば、6月26日以降、同社に対して「個人情報が漏えいしたのでは」との問い合わせが急増、これまでに計45件あったという。「明らかに異常値だった」（同社）。
　
　問い合わせの多くは、教育関連事業を運営するIT事業者からダイレクトメール（DM）が届いた、というものだった。「ベネッセに登録した住所はマンション名をわずかに変えたものだが、そのマンション名でDMが来ている」といった問い合わせもあり、ベネッセグループからの漏えいが強く疑われた。
　
　ベネッセコーポレーションは6月28日、同社の小林仁社長を対策本部長とする緊急対策本部を設置。調査会社を使い調査を開始した。6月30日には経済産業省に状況を報告、警察にも対応を相談したという。
　
　7月4日には調査会社が、ベネッセの顧客情報を含む名簿を販売している名簿業者を把握。約822万件のデータを含む名簿を入手したという。4日夜から7日朝にかけてマッチングした結果、同社しか保有していないデータが含まれていたことを確認、同社からの漏えいが確定した。
　
　7月7日には社内調査を通じ、特定のデータベースから外部に顧客情報が持ち出されていたことが判明した。同社は警視庁に相談、同庁が捜査を始めた。

　今回のベネッセの会見では、最後まで明らかにならなかった点が二つある。一つは、漏えいを実行できるアクセス権限を持つ人間の範囲だ。同社は「警察の捜査に支障が出るため」として、アクセス権限を持つ人間の数などの詳細を公表していない。

　ベネッセグループは社内調査の結果として、「ベネッセグループ以外の内部者で、データベースへのアクセス権限を持つ者」の関与を推定しているという。原田社長兼会長は、漏えい時期について「2013年末ごろ」としている。

　同社によれば、社外からの不正アクセスによる異常は見つかっていないという。同社はセキュリティ会社に24時間のセキュリティ監視を委託しており、過去のログからも異常がなかったことを確認したという。
　
　ベネッセグループは、システムの運用をグループ企業のシンフォームに委託しており、さらにシンフォームは複数のIT企業に運用を再委託しているという。これらの委託企業に付与した権限の詳細について、同社は公表していない。
　
　もう一つは、さらなる情報拡散の被害を防ぐための施策である。

　同社はこれ以上の情報拡散を防ぐためとして、漏えいが疑われる顧客データベースの稼働を停止。さらに情報セキュリティ専門会社の監査で安全性が確認されるまで、新規顧客への販促活動は停止するという。現行サービスを提供するための顧客データベースは別にあり、サービス提供には支障はないという。
　
　だが、既に流出、拡散してしまった名簿を取り返すのは至難の業だ。
　
　ベネッセは、DMを発送したIT企業、名簿を持っていた名簿業者に対し、名簿の利用・販売の中止を求める内容証明郵便を発送。さらに、DMを発送したIT企業に面会を申し出たが、「面会に応じてもらえない」（同社）という。
　
　とはいえ現行の個人情報保護法では、名簿業者が「正規の方法で個人情報を購入した」などと証言すれば、それ以上の法的責任を追及するのは難しい。ベネッセHDは「顧客情報という営業機密が持ち出され、利用される行為は、不正競争防止法違反に当たる可能性がある」としているが、最終的には警察の判断になるという。さらに、調査会社が容易に名簿を入手できたことからも、この名簿が別の業者に流出している可能性もある。
　
　ベネッセは、情報が漏えいした顧客に対して個別に手紙または電話で連絡するとしているが、「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」（原田会長兼社長）としている。