ベネッセ情報漏えいは2895万件に 書き出し制限に漏れ、ログチェック怠る 500円の金券でお詫び
ベネッセから流出した顧客情報は約2895万件に。調査の結果、外部メディアへの書き出し制限に漏れがあったことなどが判明。「悪意を持った内部者の犯行に対する不備があった」として、ラックと合弁でデータベース管理会社を設立するなど組織レベルの改革で再発防止を図る。
ベネッセホールディングスは9月10日、傘下のベネッセコーポレーションから流出した顧客情報は約2895万件だったと発表した。流出した顧客には、お詫びとして500円の金券を用意する。
調査の結果、大容量データ取り扱い時のアラート設定の対象から顧客データベースが漏れていたなどの原因が判明。今後、顧客データの保守・運用を行う専門会社をセキュリティ企業のラックと合弁で設立するなど、組織の構造改革を含む再発防止策を実施する。
同社によると、顧客情報を不正に取得した業務委託先の元社員は約3504万件分の個人情報を名簿業者3社に売却していた。このうち、実際に被害を受けた件数は約2895万件と推計したという。流出したのはサービス登録者の氏名・性別・生年月日や住所のほか、子どもの名前や出産予定日やメールアドレスが含まれているケースもあった。クレジットカード情報が売却された事実は確認されていないとしている。
「結果的にいくつかのセキュリティホールが存在」
業務委託先の元社員は、業務の必要性から、データベースへの正規アクセス件を付与されており、これを使って顧客情報を業務用PCに抽出し、私物のスマートフォンを介して外部に持ち出していた。
同社は「悪意を持った内部者の犯行に対する不備があり、結果的にいくつかのセキュリティホールが存在したため犯行を許してしまった」としている。具体的には、
(1)外部記憶装置へのデータ書き出し制限──社内規定では業務用PCのデータを外部メディアへ書き出すことを禁止し、こうした行為を制御するシステムを導入していた。だがこのシステムのバージョンアップの際、一部のスマートフォン新機種への書き出し制御に対応しないまま運用されていた。
(2)データベースのアラート機能設定──社内ネットワーク環境では、大容量のデータの取り扱いにおいて警告が発せられるアラート機能を設定しているが、顧客情報が持ち出されたデータベースについてはアラート機能の設定対象に含まれていなかった
(3)データベースのアクセスログのチェック──顧客情報が持ち出されたデータベースは業務用PCからのアクセスについて自動的にアクセスログが記録される仕組みを採用していた。だがその記録自体を定期的にモニタリングしてチェックしていなかった。チェック機能が十分なら不正行為の早期発見も可能だった。
同社は「根本的な問題は、自社の情報セキュリティに関する過信、経営層を含むITリテラシーの不足、性善説にたった監査、監視体制の運用、などの企業風土に起因する甘さにあると判断」。アクセス権限の見直しなどを進めるほか、組織レベルで構造改革に踏み切る。
今後は全データベースの管理を持ち株会社のベネッセホールディングスが行い、顧客データの保守・運用はラックと設立する合弁会社が実施。流出が起きた情報処理子会社「シンフォーム」は合弁会社に資産・人材などを統合していく。さらに外部監視機関を設け、第三者支店で定期的な監査を行う。
お詫びは500円の金券
情報流出が確認された顧客には10月下旬までに手紙を送付。お詫びとして500円の金券(電子マネーギフトか図書カード)を用意する。
また同社が用意した200億円の原資の一部で「ベネッセこども基金」を設立、経済的な理由などを抱える子どもたちへの学習支援などに活用するという。500円の金券は同基金への寄付に充てることも選べるようにする。
関連記事
- ベネッセ流出、SE「特定おそれ情報選んだ」 名簿業者は暗黙の了解、「出所は詮索せず」
ベネッセ個人情報流出問題で、被告は流出元を特定させない偽装工作を行っていた。購入していた名簿業者側も、情報の出所を深く詮索せず転売を繰り返した。 - ジャストシステム、名簿業者から購入した全データを削除 ベネッセ流出問題
ベネッセから大量の個人情報が流出した問題で、ジャストシステムは、名簿業者を通じて購入したデータを削除したと発表した。 - ベネッセ流出 複数サーバーを経由し偽装工作? SE「ばれないと思った」
ベネッセの顧客情報流出事件で、容疑者のSEがDBに直接アクセスせず、複数のサーバーを経由して顧客情報をコピーしていたことが分かった。松崎容疑者は「ばれないと思った」と供述しているという。 - ベネッセ流出情報、合計2260万件に 過去最悪規模
ベネッセの個人情報流出で、「ウィメンズパーク」と通販サイトの情報も流出していたことが新たに判明。流出件数は合計2260万件に上るという。 - 「我々は明確に加害者」 ベネッセ原田社長が改めて謝罪 再発防止策と補償について説明
ベネッセHDの原田会長が個人情報漏えいに関する再発防止策や補償について説明。「1日も早い信頼回復に務める」と話した。 - ベネッセ、情報流出のお詫び対応に200億円準備
ベネッセから大量の顧客情報が流出した問題で、ベネッセはお詫び対応として200億円を準備していることを明らかにした。 - ベネッセ情報流出、派遣SEを逮捕 顧客データ複製の疑い
ベネッセの情報流出問題で、警視庁は不正競争防止法違反の疑いで外部業者のSEの男(39)を逮捕した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.