ベネッセコーポレーション 個人情報漏洩事件
ベネッセコーポレーション 個人情報漏洩事件
個人情報を漏洩したのは39歳のシステムエンジニア。ベネッセコーポレーションのシステム開発、運用をシンフォームという100%子会社が行っていましたが、このシンフォームが顧客データベースの保守管理を外部のITベンダーに再委託しており、ここで働いていたシステムエンジニアです。不正競争防止法違反(営業秘密の複製)の疑いで逮捕されました。
システムエンジニアはシンフォーム東京支社多摩事業所で2年以上にわたり顧客情報を処理する開発を担当する中心的メンバーで、営業秘密を守るための社内研修も受けていました。個人情報漏洩の動機はギャンブルと家族入院に伴う借金とみられています。
2013年夏以降、月に1、2回の頻度で個人情報を名簿業者に持ち込み、転売されジャストシステムがDM用に約257万件分の名簿を購入しました。ジャストシステムがDMを送ったことから不審に思った顧客からの問い合わせがベネッセに相次ぎ、ベネッセが調査に乗り出して流出が判明しました。
不正競争防止法の罰則は10年以下の懲役、1000万円以下の罰金
不正競争防止法の罰則は10年以下の懲役、1000万円以下の罰金
平成21年に改正され、営業秘密に対する侵害行為について刑事罰の対象が拡大されました。売らなくてもコピー禁止の資料を無断でコピーしたり、持出禁止の資料を無断で外部に持ち出すだけでアウトです。大手企業が中小企業に業務提携を前提とするから試作品を作ってくれないかと持ちかけ、試作品と設計画面を手に入れたら業務提携の話はなくなったと言って、大手企業が図面をもとに新製品を売り出すことがありますが、これも当然、アウトです。
今回の個人情報漏洩事件の場合、IDの記録が残っており、自宅のパソコンにデータが残っていたことから営業秘密侵害罪が適用されそうです。こうなると10年以下の懲役、1000万円以下の罰金となりますので、ベネッセの個人情報を売って250万円が手元に入っても、全然わりにあいません。もっともそんな損得勘定は、はなからないでしょう。商品形態模倣行為(コピー商品)については、5年以下の懲役又は500万円以下の罰金になっています。法人にも3億円以下の罰金があり、中小企業の設計画面をもとに新製品を売り出すような場合だと会社ぐるみと認定されてアウトです。
個人情報は高値で売買されている
同窓会名簿などから個人情報のリストが作られ売買される
ジャストシステムは知らなかったとはいえ結果的に漏洩した個人情報260万件を名簿業者から手に入れDMに使ったこととなり、会社イメージを毀損してしまいました。ジャストシステムの株価はストップ安となったあとも大きく値下がりしています。1件いくらでジャストシステムが名簿を買ったかは明かではありませんが、仮に1件5円とすると260万件で1,300万円となります。
ECCが高校生へのDMで使った個人情報にベネッセから流出した情報が含まれていたことが判明しました。大阪府、兵庫県、名古屋市の高校生1,2年生の約7万5千件のデータを約60万円で購入。このうち2万7千件分がベネッセから漏れた個人情報の模様です。単純計算すると売値は1件8円の値段。名簿業者は別の業者から800万件分を約400万円で購入とあるので、買値は1件5円になります。
「来年に成人式を迎える○○町の女性のデータ」のように情報は細分化されると付加価値が高まり、もっと高値で取引されるようになります。
シンフォームはISMS認証取得を受けている企業
新型スマホが抜け穴となり個人情報漏洩になりました
ベネッセコーポレーションの子会社であるシンフォームはISMS(ISO/IEC27001)の認証を取得し、ソフトウェア開発の格付けであるCMMIレベル3も取得しています。情報セキュリティに関する基本方針もホームページに記載されており、セキュリティ管理規程、個人情報保護規定も定められているようです。かなりレベルが高い会社ですが、このレベルの会社でさえ個人情報漏洩を起こしたため、他社は社内体制などを整備し直さなければなりません。
→ 個人情報保護もう1つの格付け「ISMS」
報道によれば、一般社員が入室できない部屋で、データベースにアクセスできるIDは制限されており、しかも記録されていました。パソコンにはUSBなどを接続してもデータ転送できない仕組みになっていましたが、たまたま新型スマホを充電しようと接続しようとしたらデータ転送が可能なことを発見したのが個人情報持ち出しを考えた発端のようです。
では、どう対策すればよいのでしょうか
