ベネッセ会員の個人情報760万件流出 「進研ゼミ」など対象 内部から持ち出しの疑い

[ITmedia]

　ベネッセコーポレーションは7月9日、「進研ゼミ」など通信教育サービスの顧客の個人情報760万件が流出したと発表した。最大で全顧客・2070万件の個人情報が流出した可能性もあるという。不正アクセスによる漏えいの可能性は低く、グループ社員以外でデータベースにアクセスできる権限を持つ者による犯行と推定。警察の捜査も始まっているという。

顧客の名簿が流出したサービス一覧

　流出したのは「進研ゼミ小学／中学／高校講座」「こどもちゃれんじ」「ねこのきもち」など25サービスの顧客の個人情報で、郵便番号、子供と保護者の氏名（漢字とフリガナ）、住所、電話番号、子供の生年月日、性別が含まれていた。クレジットカード情報や金融機関の口座情報、成績情報は流出しておらず、金銭的被害の報告は届いていないとしている。

　6月下旬以降、通信教育事業を展開するIT事業者からのダイレクトメールが同社の顧客あてに届きはじめ、同社への問い合わせが急増。調査の結果、名簿事業者が同社顧客の個人情報を含むとみられるリストを扱っていることが分かり、名簿を入手・照合したところ、同社しか保有していないデータが含まれており、名簿の大半が同社のデータと一致したため、同社から流出した可能性が極めて高いと判断した。

　社内調査により、同社グループ社員以外でデータベースにアクセスできる権限を持つ内部者による情報漏えいと推定。警察の捜査に支障が出る可能性があるため詳細は開示を控えるとしている。過去にさかのぼって不正アクセスの有無を再確認するなど、社外からの不正アクセスの可能性を検証したが、情報漏えいにつながる不正アクセスは発見されていないという。

　2次被害を防ぐため、対象データベースの稼働を停止したほか、顧客情報を扱うデータベースへのアクセス監視強化、外部への持ち出し制限の強化などの対策をとる。同社のシステムはISMSを取得しているグループ会社で運用しており、プライバシーマークも取得するなど管理を徹底してきたが、「弊社の特定データベースから情報が漏えいしたことは事実」し、対策強化を約束している。

　名簿業者と、流出した名簿に基づいて営業活動を行っている企業に対しては、名簿の利用・販売の中止を求める書簡内容証明郵便を発送したという。顧客に対しては、同社からと誤認させるようなダイレクトメールやしつこい勧誘、詐欺まがいの電話などに注意するよう呼び掛けている。

　小林仁社長名で公表した告知では、「このたびはお客様にこのようなご迷惑をおかけいたしますことを、弊社一同、心よりお詫び申し上げます。皆様からの信頼を再び取り戻せるよう、再発防止に全力で取り組んでいくことをお約束いたします」と謝罪。今後も、対策についての説明を継続するとしている。