作成日:2014/7/15
更新日:2014/8/27

ベネッセコーポレーションは2014年7月9日、提供する通信教育サービス等の顧客情報約760万件について、外部に漏えいしたことを発表しました。ベネッセの提供する通信教育サービスの特性ゆえに、顧客情報には1件当たり親子で登録されていることから、人数ベースで最⼤約2070万件の顧客情報が漏えいした可能性があります。
さらに、この流出した個人情報を、同じ通信教育事業を手掛けるジャストシステム社が流用し、ダイレクトメールを発送したことが判明しました。
現在、ベネッセから被害相談を受けた警視庁生活経済課は、不正競争防止法違反(営業秘密侵害)などの疑いで捜査を始めています。(執筆時点)

事件概要

6月26日以降、ベネッセ社に「ベネッセに登録した個人情報で他社からダイレクトメールが来た」との問い合わせが急増しました。ベネッセ社はこの時点で顧客情報が流出したと判断し、内部調査を始めたと考えられます。その調査の過程で、外部の名簿業者がベネッセ固有のデータが含まれた名簿を販売していることが確認されたようです。
ベネッセ社によれば、漏えいした情報は通信教育サービス等の顧客情報約760万件、最大約2070万件の個人情報でした。

漏えいしたと思われるデータ漏えいが確認されていないデータ
  • 郵便番号
  • 顧客氏名(受講者(子供)とその保護者)
  • 住所
  • 電話番号(固定または携帯)
  • 受講者(子供)の生年月日、性別
  • クレジットカード番号
  • 有効期限
  • ⾦融機関の⼝座情報
  • 成績情報

データ流出のルートですが、社外からの不正アクセスによるものではなく、ベネッセグループ社員以外の顧客データベースにアクセス可能な内部関係者によるものであると推定されております。その後の報道では顧客情報のデータベース管理をするグループIT子会社から委託された下請け業者の派遣社員のIDによって、ベネッセ社から貸与されたPCから記録媒体にコピーして持ち出された疑いが強いとされています。
この流出した個人情報は、先にも述べたとおり他社からのダイレクトメールで使用されたと考えられています。ダイレクトメールの発送者であるジャストシテム社は、東京都内の名簿業者から購入しましたが、その際にデータの出所が明らかになっていない状況で購入契約に至ったことを明らかにしております。
最後に両社の株式の状況ですが、先週のベネッセホールディングス社、ジャストシステム社の株価と出来高の推移は、以下の通りです。

20140715_img01

20140715_img02

2社とも事件発覚を境に株価は下落し、出来高は急上昇しています。ただよく見ると、株価の下落率は漏えい元のベネッセホールディングス社よりも、漏えいデータを使用したジャストシステム社の方が大きくなっています。また、売買高も同様です。つまり、CSRの観点では、顧客情報を流出させてしまったベネッセ社よりも、知らないとはいえ流出データを使用したジャストシステム社の方に問題があると世間には見えているように考えられます。ジャストシステム社は近年通信教育事業に参入し、業績を伸ばしていたのですが、この事件によって影響を受けるかもしれません。

データ流出経路に見られる外部委託先管理の問題点

データ流出について、ベネッセ社は社内調査で以下の様に結論付けています。

  • 社外からの不正アクセスではない
  • ベネッセグループ社員以外の顧客データベースにアクセス可能な内部関係者(ベネッセグループ社員による操作は否定)

1点目の社外からの不正アクセスについては、ベネッセ社から説明があった通り、24時間体制で情報セキュリティ専門会社により不正アクセスの監視を行っていることから、ログ等の調査を行った結果、外部からのアタックの事実がなかったことを確認したと思います。
2点目について、内部アクセスのうちベネッセグループ社員を除外した点について、一部からは批判的な意見もあったようですが、ベネッセ社は常時大量の顧客情報を扱う企業なので、恐らくは社内の設備上、情報漏えいが発生しないよう対処がされていたことが考えられます。あくまでも想像ですが、以下のような対処が含まれていたと思われます。
(一般社員向け)

  • 顧客データを操作するアプリケーションにおいて、一覧作成機能が制限されている(データ出力ができない/出力件数に制限、等)
  • アプリケーションの操作ログが取得されている。ただし、定期的なチェックはされていない?(何か起きた場合にチェックする)
  • 一般社員PCにおいて、直接DBにSQLを発行するツールはインストール不可
  • 社内PCにおいて外部媒体とのアクセスが制限されている(USBポート使用不可、等)
  • 外部媒体(USBメモリ、CD-R、等)の社外持ち出しは社内申請が必要、または不可
  • 大量の件数出力が必要な場合は社内申請が必要
  • 出力操作はシステム担当者が実施
  • メールの添付ファイルサイズに制限

(情報システム担当社員向け)

  • データベース操作権限は個人ごとに申請し、個人IDが付与される
  • 操作ログの取得がされ、定期的にチェックされている
  • DBの操作ログが取得されている。ただし、定期的なチェックはされていない?(何か起きた場合にチェックする)
  • 外部媒体(USBメモリ、CD-R、等)の社外持ち出しは社内申請が必要
  • 使用する外部媒体は会社から貸与し、用件が済めば返却する


上記に関する申請書やログの履歴等を確認し、グループ社員による漏えいは無いと判断したと思います。残るは、社外の委託先になりますが、現在報道されている内容だと、幾つかの問題点があるように感じます。
顧客情報を漏えいした疑いのある委託先は東京にあり、ベネッセ社のデータ閲覧等が必要な場合は、ベネッセ社の情報システム子会社東京支社において、貸与PCを用いる必要がありました。さすがに貸与PCの社外持ち出しはされていなかったようですが、この貸与PCはUSBメモリーなどの記録媒体が接続可能であり、不正コピーを防止する措置がされていなかったそうです。
入退室ログと操作記録から操作者のIDを特定したようなので、恐らくは入退室は電子的にロックがされ、個々人に入館カードが貸与され、入退室ログも取得されていたと思います。また、PC操作も個人IDが付与され、操作ログが取得されていたことがうかがえます。しかしながら、ログの定期的なチェックは行われていなかったようです。
貸与PCの設置されていた東京の拠点では、入館時に手荷物検査を行っていたそうですが、単純に鞄の中身を確認する等、形式的な検査になっていた可能性があります。
漏えいした700万件以上のデータをダウンロードするには相当の時間が必要であり、不審な行動や画面を見られる可能性があると思いますが、何も咎められなかったのであれば、室のレイアウト上、委託先業者はベネッセ社と異なるエリアに席があり、ベネッセ社員の目が行き届いていなかった可能性があります。もしかしたら、エリアの境や座席ごとにパーティションが区切られており、誰からの目を気にせずに不正な操作が可能な環境だったかもしれません。

20140715_img03

外部の会社に作業を委託する際に気を付けたいのは、社内と同じレベルのセキュリティ対応が、委託先において必ずしも整備されているとは限らないことです。契約書等に記載されている内容が抽象的であったり、委託先の対応内容を文書でしか確認していなかったり、といった状況はよく見受けられます。上記のベネッセ社で想定されている内容はまだいい方で、貸与PCを委託先に貸し出してあとは委託先任せとか、委託先IDはまとめて一つにして操作者が分からないようになっているとか、貸与PCから委託以外のシステム操作が可能、といった状況を多数見てきました。
今一度委託先におけるセキュリティの状況と社内で要求されるレベルとのギャップを確認の上、必要に応じてしかるべき対処を検討してみてはいかがでしょうか。

流出データ使用による影響

さて、今回の漏えい事件では、流出した顧客情報をジャストシステム社が使用したことがポイントの一つとなっています。ジャストシステム社は一貫して「当社がベネッセコーポレーションから流出した情報と認識したうえでこれを利用したという事実は一切ございません。」という主張を行っています。しかしながら、個人情報は適法かつ公正に入手したものであることを条件とした契約を締結するところを、データの出所が明らかになっていない状況で契約に至ったという説明もしています。
ジャストシステム社の今回の行為が法的に問題かどうかは専門家の判断にお任せせざるを得ないのですが、ポイントになりそうなのは、以下の通りです。
まず、個人情報保護法の観点ですが、第十七条に、
「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」
とあります。また、所管である経済産業省のガイドラインには、不正の手段により個人情報を取得している事例として、
「不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合」
と記載されています。数百万件の個人情報の出所を確認していない時点でガイドラインの内容に違反していると解釈される可能性があります。ただ、個人情報保護法ではまず主務大臣からの報告や是正の指示を受け、これに違反したら罰則が科される仕組みとなっています。
また、漏えいした個人情報は不正競争防止法で定義されている「営業秘密」に該当すると思われます。第二条第一項五号に、不正競争の内容として
「その営業秘密について不正取得行為が介在したことを知って、若しくは重大な過失により知らないで営業秘密を取得し、又はその取得した営業秘密を使用し、若しくは開示する行為」
とあるので、出所を明らかにしないことが重大な過失と見なされる可能性があります。
先ほども述べたように、法的な判断は専門家にお任せしますが、法制度上の罰則よりも世間の厳しい目にさらされることで、今後のビジネスに悪影響を及ぼしかねません。最近、こうした確認作業を怠るような事象が散見され、個人的には危惧しています。また別の場所で述べてみようと思います。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは、個人情報保護に関して、
・個人情報の入手から保管、廃棄までの一連のプロセスの策定
・個人情報の漏えい防止(不正アクセス/内部不正)に向けた情報セキュリティ対策
・個人情報保護法等、関連する制度への対応
・万が一、個人情報が漏えいした際の危機管理体制策定
を支援するコンサルティングサービスを提供しています。詳細はこちらをご覧ください。
==>「コンサルティングサービス-リスク管理」のページ

興味や関心がございましたら、ぜひご連絡ください。

コンサルティングサービス-リスク管理
お問い合わせ

外部委託先簡易診断サービスの提供を始めました—>紹介ページ

昨今相次ぐ情報漏えい事故に対処するため、システム開発・保守業務の外部委託先におけるセキュリティ整備状況や統制状況を確認するための簡易診断サービスの提供を開始しました。
詳しい内容はこちらをご覧ください。