2014年7月、「進研ゼミ」や「こどもちゃれんじ」などの運営会社である株式会社ベネッセコーポレーション(以下:ベネッセ)において、顧客の個人情報が大量に流出する事件が発生したとの公表は、今なお多くの人の記憶に色濃く残る情報流出事件の一つと言えるかもしれません。
あの事件の原因は、同社のグループ会社からの委託会社従業員が私用のスマートフォンを使い情報を不正に持ち出したことで発生しました。
事件発覚直後は、情報持ち出しを行った従業員当人が問題視されながらも、同時にベネッセ側のセキュリティ意識の甘さも追及されることとなりました。
果たして、「どこが一番問題だったのか?」という点を意識しつつ、当時のベネッセが実施していたセキュリティ対策も含めて、まずは事件の発覚から原因、刑罰の執行に至るまでの一連の流れを要点に絞って振り返っていきます。
発覚
2014年6月27日、ベネッセに顧客から個人情報の漏洩を懸念する複数の問い合わせ入り問題が浮上、顧客からの問い合わせは共通しており、「無関係の会社からのダイレクトメールや電話による勧誘の連絡が来るようになった」といったものでした。
同刻ベネッセ内で調査が開始され、同年7月7日に顧客個人情報が流出しているとの事実が確認されました。
ベネッセは、緊急で対策本部の設置、セキュリティ業者への調査依頼、警視庁への被害報告を実施しました。
原因
警視庁の調査結果から、情報流出の原因がベネッセのグループ会社「シンフォーム」の業務委託先企業の派遣社員によるものと判明しました。
調べによると2013年12月ごろから、当該派遣社員はシンフォーム社内のサーバー内に記録されていた顧客の情報を抜き出し、USBケーブルを用いて私用のスマートフォンに転送していたことが確認されております。
抜き出した顧客個人情報は、「パン・ワールド」、「文献社」、「ジャストシステム」といった他社に転売されており、得た情報を基にジャストシステムが顧客にダイレクトメールを送付したことで問題発覚につながります。
被害内容
当該派遣社員が転売した情報には、ベネッセが提供するサービス登録者および子供の名前、性別、生年月日、続柄などの個人情報に加え、住所、電話番号、メールアドレスなど約2,895万件の情報が該当するとのことです。
なお、クレジットカード情報といった決済に関わる情報は含まれていなかったとのこと。
また、該当するサービスとして、「こどもちゃれんじ」や小・中・高「進研ゼミ講座」をはじめとする教育事業および、「たまひよbe-fa」や「ベネッセウィメンズパーク」などの生活事業のそれぞれサービスが公開されております。
刑事訴訟と民事訴訟
当該派遣社員は、顧客個人情報の持ち出しおよび転売に至る罪を問われ、2017年に執行された刑事訴訟においては最終的に“懲役2年6カ月と罰金300万円”が執行猶予なしで言い渡されております。
民事訴訟では、シンフォームに被害該当者ひとりにつき1,000円の支払いが言い渡されており、一方のベネッセも、株主らから機密保持に対する対策不備とそれに伴う損害を理由に賠償金の支払いが要求されました。
ベネッセは事件後、経済産業省から個人情報管理についての勧告を受けたことで、同省に具体的なセキュリティ対策の報告や、警察や公共機関と連携しての流出した情報を悪用しているとみられる事業者に対する抑制活動を開始しております。
ベネッセが行っていたセキュリティ対策
ここまで、ベネッセにおいて発生した情報流出の概要を振り返った上で、同社はどのようなセキュリティ環境だったのかも気になるところです。
2014年9月25日にベネッセが当時のセキュリティ状況を取りまとめた報告書によると、顧客の個人情報にアクセスする上では、以下のような複数の規定が設けられておりました。(システム管理はグループ会社であるシンフォーム)
① 顧客の個人情報が保管されているサーバーアクセス時は、作業者の操作と通信ログがそれぞれ出力される |
② データ伝送時、あらかじめ設定されていた数値を超える通信が行われた場合はアラートが送信される |
③ 担当者が使用するパソコンには持ち出せないように物理的にワイヤーが装着されており、それぞれ認証アカウントの設定と定期的なパスワード変更が義務付けられていた |
④ 部門責任者の許可がない限り、外部メディア(USBメモリなど)によるデータの持ち出しは禁止されていた |
⑤ 個人情報へのアクセスは部門責任者への申請後に、アクセス権限を付与される必要があった |
なお、報告書には上記の内容に加えて、「②の設定されていた数値があいまい」「④の新機種などのデータ書き出し抑制に非対応」「⑤のアクセス権限の見直しが定期的に行われていない」などの問題点も同時に記載されております。
すべての企業が無関係ではない
改めて、ベネッセで起こった個人情報流出に関する事件をセキュリティ観点も含めて振り返ってきましたが、結局のところ、「どこが一番問題だったのか?」
そう問いかけた場合、ベネッセ側において実施していたセキュリティ環境を見るに、全くとるべき対策をとっていなかったとも言い難く、一方で従業員すべてを疑いがんじがらめのコンプライアンスや規定を設けていれば未然に防げたとも一概には言えない問題です。
重要なのは、当事件が果たして「無関係の出来事だったのか?」という部分を含め、自社と関連する状況や今後の参考にできるポイントなどを重ねてみることと思われます。
企業組織ごとに「守りたい情報」、「防ぎたい状況」は千差万別です。
システム面で自社にとって無理のないレベルでのセキュリティ環境を整えるのはもちろん、従業員へのセキュリティ意識の共有も大切です。
従業員ひとりひとりの機密や個人情報への意識の持ちようにはどうしてもばらつきが出てしまうため、「守るべきルール作り」や「情報流出によりどのような状況に陥るのか」といったシミュレーションを行い、セキュリティへの一定レベルの意識共有を目的にした時間を設けるなども有効でしょう。
【参考URL】
◆ベネッセ個人情報流出事件 |
◆ベネッセお客様本部 |
◆ベネッセの情報漏えいはなぜ起きた? 調査報告で問題詳細が明らかに |