ベネッセ情報漏えいは2895万件に 書き出し制限に漏れ、ログチェック怠る 500円の金券でお詫び

[ITmedia]

　ベネッセホールディングスは9月10日、傘下のベネッセコーポレーションから流出した顧客情報は約2895万件だったと発表した。流出した顧客には、お詫びとして500円の金券を用意する。

　調査の結果、大容量データ取り扱い時のアラート設定の対象から顧客データベースが漏れていたなどの原因が判明。今後、顧客データの保守・運用を行う専門会社をセキュリティ企業のラックと合弁で設立するなど、組織の構造改革を含む再発防止策を実施する。

　同社によると、顧客情報を不正に取得した業務委託先の元社員は約3504万件分の個人情報を名簿業者3社に売却していた。このうち、実際に被害を受けた件数は約2895万件と推計したという。流出したのはサービス登録者の氏名・性別・生年月日や住所のほか、子どもの名前や出産予定日やメールアドレスが含まれているケースもあった。クレジットカード情報が売却された事実は確認されていないとしている。

「結果的にいくつかのセキュリティホールが存在」

　業務委託先の元社員は、業務の必要性から、データベースへの正規アクセス件を付与されており、これを使って顧客情報を業務用PCに抽出し、私物のスマートフォンを介して外部に持ち出していた。

　同社は「悪意を持った内部者の犯行に対する不備があり、結果的にいくつかのセキュリティホールが存在したため犯行を許してしまった」としている。具体的には、

（1）外部記憶装置へのデータ書き出し制限──社内規定では業務用PCのデータを外部メディアへ書き出すことを禁止し、こうした行為を制御するシステムを導入していた。だがこのシステムのバージョンアップの際、一部のスマートフォン新機種への書き出し制御に対応しないまま運用されていた。

（2）データベースのアラート機能設定──社内ネットワーク環境では、大容量のデータの取り扱いにおいて警告が発せられるアラート機能を設定しているが、顧客情報が持ち出されたデータベースについてはアラート機能の設定対象に含まれていなかった

（3）データベースのアクセスログのチェック──顧客情報が持ち出されたデータベースは業務用PCからのアクセスについて自動的にアクセスログが記録される仕組みを採用していた。だがその記録自体を定期的にモニタリングしてチェックしていなかった。チェック機能が十分なら不正行為の早期発見も可能だった。

　同社は「根本的な問題は、自社の情報セキュリティに関する過信、経営層を含むITリテラシーの不足、性善説にたった監査、監視体制の運用、などの企業風土に起因する甘さにあると判断」。アクセス権限の見直しなどを進めるほか、組織レベルで構造改革に踏み切る。

　今後は全データベースの管理を持ち株会社のベネッセホールディングスが行い、顧客データの保守・運用はラックと設立する合弁会社が実施。流出が起きた情報処理子会社「シンフォーム」は合弁会社に資産・人材などを統合していく。さらに外部監視機関を設け、第三者支店で定期的な監査を行う。

お詫びは500円の金券

　情報流出が確認された顧客には10月下旬までに手紙を送付。お詫びとして500円の金券（電子マネーギフトか図書カード）を用意する。

　また同社が用意した200億円の原資の一部で「ベネッセこども基金」を設立、経済的な理由などを抱える子どもたちへの学習支援などに活用するという。500円の金券は同基金への寄付に充てることも選べるようにする。