ベネッセコーポレーション 個人情報漏洩事件

ベネッセコーポレーションundefined個人情報漏洩事件

ベネッセコーポレーション 個人情報漏洩事件

「進研ゼミ」、「こどもちゃれんじ」などを運営するベネッセコーポレーションで個人情報漏洩事件が発生。漏洩したのは通信教育サービスを利用している子供、保護者の名前、住所、生年月日、性別など760万件~2070万件の個人情報(1993年1月1日~2013年12月31日に生まれた11年分のデータ)。平成26年4月1日における子供の数(15歳未満人口)が1633万人ですので、かなりの子供を網羅した数になります。

個人情報を漏洩したのは39歳のシステムエンジニア。ベネッセコーポレーションのシステム開発、運用をシンフォームという100%子会社が行っていましたが、このシンフォームが顧客データベースの保守管理を外部のITベンダーに再委託しており、ここで働いていたシステムエンジニアです。不正競争防止法違反(営業秘密の複製)の疑いで逮捕されました。

システムエンジニアはシンフォーム東京支社多摩事業所で2年以上にわたり顧客情報を処理する開発を担当する中心的メンバーで、営業秘密を守るための社内研修も受けていました。個人情報漏洩の動機はギャンブルと家族入院に伴う借金とみられています。

2013年夏以降、月に1、2回の頻度で個人情報を名簿業者に持ち込み、転売されジャストシステムがDM用に約257万件分の名簿を購入しました。ジャストシステムがDMを送ったことから不審に思った顧客からの問い合わせがベネッセに相次ぎ、ベネッセが調査に乗り出して流出が判明しました。

不正競争防止法の罰則は10年以下の懲役、1000万円以下の罰金

不正競争防止法の罰則は10年以下の懲役、1000万円以下の罰金

不正競争防止法の罰則は10年以下の懲役、1000万円以下の罰金

元東芝の技術者が東芝の半導体研究データを韓国のライバル企業に不正流出した事件がありましたが、この時に適用されたのが不正競争防止法です。不正競争防止法とは適正な競争を確保するための法律で、他社の商品をまねしてコピー商品を売ったり、営業秘密を盗んだりしたらダメですよという法律です。

平成21年に改正され、営業秘密に対する侵害行為について刑事罰の対象が拡大されました。売らなくてもコピー禁止の資料を無断でコピーしたり、持出禁止の資料を無断で外部に持ち出すだけでアウトです。大手企業が中小企業に業務提携を前提とするから試作品を作ってくれないかと持ちかけ、試作品と設計画面を手に入れたら業務提携の話はなくなったと言って、大手企業が図面をもとに新製品を売り出すことがありますが、これも当然、アウトです。

今回の個人情報漏洩事件の場合、IDの記録が残っており、自宅のパソコンにデータが残っていたことから営業秘密侵害罪が適用されそうです。こうなると10年以下の懲役、1000万円以下の罰金となりますので、ベネッセの個人情報を売って250万円が手元に入っても、全然わりにあいません。もっともそんな損得勘定は、はなからないでしょう。商品形態模倣行為(コピー商品)については、5年以下の懲役又は500万円以下の罰金になっています。法人にも3億円以下の罰金があり、中小企業の設計画面をもとに新製品を売り出すような場合だと会社ぐるみと認定されてアウトです。

個人情報は高値で売買されている

同窓会名簿などから個人情報のリストが作られ売買される

同窓会名簿などから個人情報のリストが作られ売買される

2005年に個人情報保護法が施行されたことから、名簿業者が情報源としていた住民基本台帳閲覧が事実上、不可能となり、関係者や廃品回収業者から持ち込まれる社員録、同窓会名簿などが頼みの綱となっていますが退職や転居などメンテネンスが大変です。今回、流出した個人情報は生きた情報ですので、どの名簿業者も欲しい情報です。容疑者は15回に分け、総額250万円で売ったと報道されています。

ジャストシステムは知らなかったとはいえ結果的に漏洩した個人情報260万件を名簿業者から手に入れDMに使ったこととなり、会社イメージを毀損してしまいました。ジャストシステムの株価はストップ安となったあとも大きく値下がりしています。1件いくらでジャストシステムが名簿を買ったかは明かではありませんが、仮に1件5円とすると260万件で1,300万円となります。

ECCが高校生へのDMで使った個人情報にベネッセから流出した情報が含まれていたことが判明しました。大阪府、兵庫県、名古屋市の高校生1,2年生の約7万5千件のデータを約60万円で購入。このうち2万7千件分がベネッセから漏れた個人情報の模様です。単純計算すると売値は1件8円の値段。名簿業者は別の業者から800万件分を約400万円で購入とあるので、買値は1件5円になります。

「来年に成人式を迎える○○町の女性のデータ」のように情報は細分化されると付加価値が高まり、もっと高値で取引されるようになります。

シンフォームはISMS認証取得を受けている企業

新型スマホが抜け穴となり個人情報漏洩になりました

新型スマホが抜け穴となり個人情報漏洩になりました

ベネッセコーポレーションが投資家向けに出している資料に事業リスクの記載があり、その中にセキュリティに関する項目がありました。顧客の個人情報などの大規模な漏洩があった場合、業績及び財務状況に影響を与える可能性がある、とあり、このリスクが今回、顕在化してしまいました。

ベネッセコーポレーションの子会社であるシンフォームはISMS(ISO/IEC27001)の認証を取得し、ソフトウェア開発の格付けであるCMMIレベル3も取得しています。情報セキュリティに関する基本方針もホームページに記載されており、セキュリティ管理規程、個人情報保護規定も定められているようです。かなりレベルが高い会社ですが、このレベルの会社でさえ個人情報漏洩を起こしたため、他社は社内体制などを整備し直さなければなりません。

→ 個人情報保護もう1つの格付け「ISMS」

報道によれば、一般社員が入室できない部屋で、データベースにアクセスできるIDは制限されており、しかも記録されていました。パソコンにはUSBなどを接続してもデータ転送できない仕組みになっていましたが、たまたま新型スマホを充電しようと接続しようとしたらデータ転送が可能なことを発見したのが個人情報持ち出しを考えた発端のようです。

では、どう対策すればよいのでしょうか