ベネッセ流出　データベース統合が被害拡大

　ベネッセコーポレーションは平成２２年、サービスごとに分かれていた顧客情報のデータベース（ＤＢ）を統合していた。一括管理で情報件数が１００万件単位から１千万件単位となり、流出被害を拡大させた可能性がある。

　ＤＢにアクセスする権限を下請け業者の派遣社員にまで与えていた一方、流出から半年間も被害に気付いておらず、ベネッセ側の危機管理の甘さが浮き彫りになっている。

　ベネッセ関係者によると、複数のサービスに分かれていたＤＢを２２年１月に統合。本社以外からもアクセスができ、名前や電話番号などの条件で迅速に検索して営業などに活用できるよう機能を強化した。

　取り扱う顧客情報は１００万件単位から１千万件単位に急拡大。今回の問題では約７６０万件の流出被害が確認され、最大で約２０７０万件に上るとみられる。ベネッセ関係者は「利便性を優先させたことで、被害拡大を招いたことは否めない」と話す。

　顧客情報は今年１月には複数の名簿業者の間でやり取りされていたが、ベネッセ側が流出被害に気付いたのは６月下旬。ライバル企業のジャストシステムが、手に入れた顧客情報を基にダイレクトメールを発送し、顧客がベネッセ側に問い合わせてからだった。

　ベネッセ関係者によると、顧客情報のＤＢは外部からハッキングされるなど不審な動きがあった場合、警告を発する「不正検知システム」を備えていたが、今回はアクセス権限がある派遣社員のＩＤで業務を装ってアクセスされたため、システムが作動しなかったとみられる。

　ベネッセはグループ社員だけでなく、下請け業者の派遣社員にもアクセス権限を与えていたことを問題視し、アクセス権限の見直しを進めているという。

　ＩＴ業界関係者は「保守・管理で数百万件以上の顧客情報のコピーが必要とされることはほとんどない。派遣社員にまで必要な権限だったかは疑問が残る。ベネッセの危機管理は『内部犯行』を排除したもので、ずさんと言われても仕方がない」と指摘している。