piyolog

ベネッセの情報漏えいをまとめてみた。

インシデントまとめ | 01:57 |

2014年7月9日、ベネッセは顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。

(1) 公式発表と概要

ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。

• お客様情報の漏えいについてお詫びとご説明
• ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び（お問い合わせ窓口のご案内）

概要を図にまとめると次の通り。

(2) 被害状況

漏えい件数

• 漏えいが確定した件数：約760万件
• 漏えいが疑われる件数：最大約2,070万件
• 漏えい時期：2013年末頃
  • データ更新時期が不明ながら2013年9月頃の住所に対して送られているとの情報有り*1
• 件数は全て1世帯を1件としてカウントしている。
  • 1件当たり保護者1名、子供1名の情報が含まれる。
  • 漏えい1件について最低でも2人の情報が漏えいしている。

漏えいした情報

• 保護者氏名(漢字・フリガナ)
• 子供氏名(漢字・フリガナ)
• 子供生年月日
• 子供性別
• 郵便番号
• 住所
• 電話番号(固定電話、または携帯電話)

• ベネッセは「センシティブな情報が漏れたわけではない」「金券配布は検討していない」と記者会見で明らかにした。*2
• ベネッセは調査会社が容易に名簿を入手できたことから、別の名簿業者に渡っている可能性も考えられると発表。

漏えいしたサービス

• これまでベネッセの以下のサービスを利用している、または過去していた個人情報。
  • こどもちゃれんじ （こどもちゃれんじ babyを含む）
  • 進研ゼミ小学講座
  • 進研ゼミ中学講座
  • 進研ゼミ高校講座
  • 難関私立中高一貫講座
  • 東大特講√T 京大特講√Ｋ
  • 中学受験講座
  • 公立中高一貫校受験講座
  • こどもちゃれんじ English
  • Worldwide Kids
  • BE-GO
  • かがく組
  • こども英語教室（直営）
  • グリムスクール（直営）
  • コラショえいご
  • サイエンス教室
  • 学習教室
  • 文章表現力教室
  • 考える力プラス講座
  • 得点力学習 DS
  • ポケットチャレンジ
  • しまじろうミュージック
  • EVERES
  • いぬのきもち
  • ねこのきもち
  • be-fa！

(3) 発端

• 6月下旬以降、ベネッセへ同社登録情報宛にDMが届いているとの問い合わせが急増したことによる。

(4) 原因

• ベネッセの顧客情報データベースが外部の何者かにより不正に持ち出され、名簿業者に売却された可能性がある。

(5) 対応

ベネッセの対応

• 顧客情報データベースの稼働を停止。
• 情報漏えい事案に関する対外向けの発表。
• 問合せ窓口の設置。
  • １００回線以上準備した専用電話の模様。*3
• 安全性が確認されるまでの新たな顧客への販売促進活動の停止。

• 経営陣の引責辞任
  • 対応完了後に福島保副会長と明田英治最高情報責任者が辞任予定。
  • 原田会長は処分、辞任は考えてないとのこと。

• 今後の対応(7月9日時点)
  • 顧客情報データベースのアクセス監視強化と外部持ち出しへの制限強化
  • 情報セキュリティ専門会社の監査の実施。ガバナンス強化に向けた取組計画の策定とその実行。
  • 調査・捜査により漏えいが確定した顧客への連絡。
  • 同社の顧客情報を使用している事業者に対して協力を求める

経済産業省の対応

• ベネッセへ個人情報保護法に基づく報告を要請。

警察の対応

• ベネッセからの相談を受け捜査を開始。
• 「不正競争防止法違反容疑」で捜査。*4

(6) インシデントタイムライン

日時	出来事
6月26日以降	Twitter上でスマイルゼミというDMが送られるといった報告が多数
6月26日	ベネッセへ登録した情報に対してDMやセールス電話が来るとの問い合わせが急増
6月27日	問合せ急増を受け同社会長・社長へ報告。
	ベネッセが全面調査を開始。
6月28日	同社に緊急対策本部設置。
	ベネッセが調査会社へ調査を依頼
6月30日	ベネッセが経済産業省へ状況報告と対応について相談
	警察へ状況報告と対応について相談
7月4日	調査会社がベネッセの個人情報を販売する名簿業者を把握、及び名簿を入手
7月7日朝	ベネッセの保有する顧客情報とのマッチングを実施
7月7日	ベネッセが社内調査より顧客情報データベースから情報が持ち出されていたこと判明
	警察が捜査を開始。
7月8日	IT事業者、及び名簿業者へ名簿の利用・販売の中止を求める内容証明郵便を発送。
7月9日	ベネッセが情報漏えいについて発表。同日記者会見。
7月10日	経済産業省がベネッセに個人情報保護法に基づく報告を要請。

「グループ社員以外の内部者」に関する情報

• ベネッセはベネッセグループ社員以外の内部者の関与と推定
• 内部者とはデータベースへアクセスできる権限を持つ(関係者)ものを指す
• 特定のデータベースから何らかの形で外部に顧客情報が持ち出されたことは調査により判明
• 外部からの不正アクセスではない。過去に遡って外部からの不正アクセス有無を検証済み。
  • ベネッセのシステムは24時間のセキュリティ監視を委託している。

「IT事業者」に関する情報

• 発表・報道はされていないが、インターネット上で挙がっているIT事業者は現在次の通り。
• ベネッセが名前を明かさない理由は警察が捜査中であるため。
• ベネッセはDM発送を行っているIT事業者に対して「悪意を持っての流出情報の使用」と批判。協力が得られない場合は告訴も検討*5
• IT事業者は「関係がどのようなものであったか把握しておらず現在確認中」とコメント*6
• ベネッセの発表によればIT事業者は面会の申し出に応じていない。*7

ジャストシステム

• 同社の「スマイルゼミ」と呼称する教育サービスのダイレクトメールが届いているとの報告が複数見受けられる。

徳島のジャストシステムから小3の娘にスマイルゼミなるものの案内が届きました。進研ゼミの勧誘マンガに似ている！？ pic.twitter.com/4n6IYGCj9H

— カイメイジュク／開明塾 (@kaimei_o) 2014, 6月 27

• ダイレクトメールに「株式会社ジャストシステム」との記載がある。
• 朝日新聞が次のように報じており、ジャストシステムの「スマイルゼミ」のDMであることが推定できる。また、同じ業者のDMがベネッセにしか登録していない情報宛に届いている模様。

新潟県十日町市の小学３年生の男児（８）宅には、２週間ほど前に、タブレットを使った通信教育のダイレクトメール（ＤＭ）が見知らぬ会社から届いた。

(中略)

埼玉県川口市の主婦（３３）の元にも、同じ業者からＤＭが届いた。Ｂ４サイズの水色の封筒。小学２年の長女のために２年前に半年間だけ進研ゼミを利用した。変な勧誘などが来ると困ると思い、その時、子どもの名前を一文字変えて登録。ＤＭは、実在しないその名前宛てだった。

http://digital.asahi.com/articles/ASG796FQ5G79UTIL03P.html?iref=comkiji_txt_end_s_kjid_ASG796FQ5G79UTIL03P

塾(詳細不明)

• 知らない塾からセールス電話がかかってきたと報じられている。*8

「名簿業者」に関する情報

• 発表・報道はされていないが、インターネット上で挙がっている名簿業者は現在次の通り。
• 業者は単独ではなく複数存在する可能性がある。
• ベネッセが名前を明かさない理由は警察が捜査中であるため。

文献社

• DMを送付したジャストシステムへ問合せを行った人が報告している。

うちの情報については、文献社（データーベース事業者：いわゆる名簿屋）という会社から入手した、と回答がスマイルゼミからありました。住所のラベルのバーコード下の記号を読み上げると、スマイルゼミがどこから入手したか電話受付係の女性が答えてくれました。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail.php;_ylt=A3xTwsWOUr1TD08A1bKL.vN7?page=1&qid=13131143853

パンワールドデータ

• DMを送付したジャストシステムへ問合せを行った人が報告している。

@amiaminagi スマイルゼミ→名簿屋Ａ→名簿屋Ｂまで訴求できましたが、名簿屋Ｂが個人情報取り扱事業者なのに、我が家の情報の仕入れ先の開示を拒否した為、これ以上遡れませんでした。名簿屋Ｂは（株）パンワールドデータ（東京都武蔵野市）http://t.co/1CMzvxe1ei

— いち子 (@shinagwa) 2014, 6月 30

更新履歴

• 2014/07/10 AM 新規作成

ツイートする