ベネッセの情報漏えいはなぜ起きた？ 調査報告で問題詳細が明らかに（1/3 ページ）

調査委員会の最終報告書では事件発生時のセキュリティ対策や犯行の手口などがまとめられ、システム面や組織面におけるセキュリティの問題点が明らかにされた。

[ITmedia]

　ベネッセホールティングスは9月25日、ベネッセコーポレーションで発生した顧客情報の漏えいに関する調査委員会（委員長・小林英明弁護士）の最終報告について概要を公表した。調査期間は7月22日から9月12日までで、委員会ではのべ63人に事情聴取などを行い、発生時のセキュリティ対策や犯行の手口、再発防止策などを取りまとめた。

　今回の漏えい事件における主な経過と調査結果の概要は以下の通りとなっている。

• 6月27日：顧客の問い合わせで情報漏えいの可能性を認識、社内調査を開始
• 7月7日：情報漏えいの事実を確認、危機管理委員会を発足、緊急対策を講じる
• 7月9日：情報漏えいの事実を公表
• 7月15日：警視庁に刑事告訴。ベネッセホールディングスが調査委員会の発足を決定
• 7月17日：警視庁が情報システム子会社シンフォームの業務委託先の元社員を不正競争防止法違反容疑で逮捕
• 7月21日：漏えいした情報の規模や内容などを追加発表
• 7月22日：調査委員会メンバーを選出、調査開始
• 8月4日：顧客対応のための「お客様本部」を設置
• 9月10日：調査委員会の調査報告と再発防止策、顧客対応などを発表
• 9月12日：調査委員会の最終報告を原田泳幸代表取締役会長兼社長が受領

顧客情報漏えいに関する最終調査報告書

発生時のセキュリティ状況

　報告書では発生当時のセキュリティ状況のポイントについて（1）データベースおよびシンフォームの執務室、（2）クライアントPC、（3）シンフォームでの個人情報保護教育――の3点を挙げている。

　（1）個人情報を取り扱う業務での執務室を含めた施設の入館で、入館許可証の発行を受けた者や臨時入館許可証の貸与を受けた者のみが入室でき、入退室管理規程に従って入退出が管理されていたという。出入口付近には監視カメラが設置されていた。

　（2）シンフォームが業務委託先に貸与したクライアントPCは、ワイヤーロックで持ち出しが禁止され、利用場所が制限されていた。従業員と業務委託先が使用するPCの対策ではユーザーに認証IDを割り当て、パスワードを設定し、パスワードの定期更新を定めていた。

　データベースへのアクセスが許可されたPCは、システム管理部門の許可を得ずに標準仕様を変更することができないとされていた。社内規程でPCによるネットワークの使用状況・内容について、操作ログを記録することが定められていたという。また、PCでは不要なソフトのインストールが制御され、外部オンラインストレージなど不要な外部サービスへのアクセスもURLフィルタリングでブロックされる対策が講じられていた。

　（3）従業員に対して企業倫理、情報セキュリティ、個人情報保護、内部者取引の防止、PC利用などについて、定期的な教育の実施を社内規程で定めていた。委託業務従事者には、従事前に情報セキュリティ研修とテストを行い、合格者に従事させていた。業務従事者に情報セキュリティ研修を毎年受講させていた。