ベネッセホールディングスは7月9日、顧客情報約760万件が外部に漏えいしたと発表した。最大で2070万件の個人情報が外部に流出した恐れがあるという。なお、不正アクセスによる流出ではなく「何らかの形で外部に持ち出されていた」(発表資料より)としている。

事態が発覚したのは6月26日以降、教育関連事業を行なうIT事業者が発送したDMを受けたベネッセユーザーからの問い合わせによるもので「ベネッセのみに登録していた個人情報で、他社からDMやセールス電話が来ている。ベネッセから情報が漏えいしているのではないか」という問い合わせが急増したという。

調査の結果、漏えいが確認された顧客情報は約760万件で、この漏えいしたデータベースに登録されている個人情報の総数、2070万件が漏えいした可能性があるとしている。

なお、データベースに登録されていた個人情報は「郵便番号」と「ユーザー(子供と保護者)の名前(漢字とフリガナ)」「住所」「電話番号(固定または携帯)」「子供の生年月日と性別」となる。クレジットカード番号や有効期限、金融機関の口座情報、成績情報については、漏えいはないとしている。

このデータベースは、特定商品・サービスのデータベースであり、それ以外のサービス登録者については異なるデータベースであるため漏えいした可能性はないとしている。該当商品・サービスは以下の通り。「こどもちゃれんじ」や「進研ゼミ」などの教育関連だけではなく、「いぬのきもち」「ねこのきもち」といった顧客の個人情報も流出対象となっている。

利用者の個人情報が外部に流出した可能性のある商品・サービス一覧

金銭的な被害は現時点で「報告は受けておりません」としており、教育関連事業者からのセールス電話やDMにとどまる。ベネッセが調査を依頼した企業によると、名簿事業者が822万件のデータが含まれる名簿を提供していることを確認。この名簿はあくまで「ベネッセの顧客個人情報を含むと思われる名簿」であり、全てがベネッセの情報ではないと思われる。

ベネッセはすでに警察に相談を行っており、警察は捜査を開始している。また、流出したと思われる情報をもとに作成された名簿でセールス電話などをかけている「教育関連事業を行なうIT事業者」や名簿事業者などに対しては名簿の利用・販売の中止を求める内容証明郵便を発送したという。

該当するデータベースについては稼働を停止。その他セキュリティ対策では、アクセスの監視強化と外部への持ち出し制限強化、セキュリティ専門会社によるシステム運営プロセス監査の実施などを行なうとしている。