詳報・ベネッセで760万人の個人情報漏えい、内部者関与の疑い

漏えい規模は最大で2070万人分の及ぶ可能性も。グループ社員以外のDBアクセス権を持つ内部者の関与が疑われ、警察が捜査を開始している。

[ITmedia]

個人情報漏えいを発表したベネッセ

　ベネッセコーポレーションは7月9日、約760万人の顧客情報が外部に漏えいしたと発表した。漏えい規模は最大で約2070万人に及ぶ可能性がある。グループ社員以外のデータベースアクセス権を持つ内部者の関与が疑われ、警察が捜査を開始している。

　同社によると、漏えいが確認された情報は通信教育サービスなどの顧客（過去の利用者を含む）の氏名（子どもと保護者の漢字名とフリガナ）、郵便番号、住所、電話番号（固定や携帯）、子どもの生年月日と性別。クレジットカードの番号や有効期限、金融機関の口座情報、成績情報などは漏えいしていないという。

　現状で金銭的な被害の報告は寄せられていない。顧客からは「個人情報を提供したことがない企業からダイレクトメールや電話が来ている」との連絡が寄せられているという。

　漏えい元は確認された情報を格納している特定のデータベースで、同社はこのデータベースの稼働を停止し、さらなる漏えいをさせない措置を講じた。それ以外のデータベースでは異常が無いとしている。

　原因については、同社グループ社員以外のデータベースアクセス権を持つ内部者の関与を推定しているとし、7月7日に所轄の警察署による捜査が開始された。同社では捜査に全面協力するとともに、漏えいが確認された顧客に対応について連絡を行っている。利用者へのサービスやサポートは継続して提供するものの、新規顧客への販売活動は情報セキュリティ会社による監査で安全性が確認されるまで停止するという。

不審な勧誘相次ぐ

　同社によれば、今回の情報漏えいは6月26日から教育関連事業を行うIT事業者のダイレクトメールに関する問い合わせが急増したことで発覚した。問い合わせ内容は、「ベネッセだけに登録されているはずの個人情報で、他社からダイレクトメールや電話が来ている。情報が漏えいしているのではないか」というものだった。

　翌27日に小林仁社長の指示で調査を開始し、28日には小林社長を本部長とする緊急対策本部を設置。30日に所管する経済産業省や所轄の警察署に状況を報告し、対応に関する相談を開始した。

　7月4日には同社が起用した調査会社が、漏えい情報を含むとみられる約822万件のデータが収集された名簿を販売する業者を特定。7日朝までに名簿に同社のみが保有するデータが含まれていることが確認され、社内調査でも、特定のデータベースから何らかのルートで顧客情報が持ち出されていることが判明した。

　同社は8日、ダイレクトメールや電話をかけているとされる事業者や名簿を取り扱っていた業者に対して、名簿の利用や販売中止を求める内容証明郵便を送付したとしている。

厳重なはずのセキュリティ対策が

　漏えい元は特定されたものの、その原因や経路などについては警察の捜査に支障をきたす恐れがあるとして、同社は詳細状況を明らかにしていない。不正アクセス対策では外部のセキュリティ企業に委託して24時間体制の監視を行っているが、これまでの調査で異常は確認されず、内部者の関与が推定されるという。

　情報システムの運用は、ISMSを取得しているグループ企業のシンフォームズが行っており、個人情報の取り扱いは全社員への教育実施や各組織に個人情報責任者を設置するなどの運用を徹底していたという。外部監査も定期的に実施し、プライバシーマークを取得する形で個人情報を取り扱ってきたと同社では説明している。

　しかしながら、「特定のデータベースから情報が漏えいしたことは事実」として、原因究明とともにセキュリティ対策を強化すると表明。具体的には以下の項目を実施するという。

• 全ての顧客情報を扱うデータベースについて、アクセスの監視強化と外部への持ち出しの制限を強化（アクセス権限の絞り込み、運営の厳格化、外部専門機関を活用した常時監視など）
• 情報セキュリティ専門会社によるシステム運営プロセス監査を実施し、システムのあらゆる脆弱性を把握し、社長を最高責任者とする情報セキュリティ対策強化の特別チームにより、速やかにガバナンスの強化を含めて、取組計画を策定・実行する

　なお、今回の事件におけるベネッセホールディングスの連結業績への影響は不明。同社では精査を進めており、確定しだい速やかに適時開示するとしている。