ベネッセホールディングスは9月10日、7月に公表した顧客情報流出の調査報告と再発防止策を発表した。同時にセキュリティ専門会社であるラックとの合弁会社設立も発表している。

この問題は、同社が業務委託を行なっていた企業の元社員が顧客情報を不正に取得し、名簿事業者に売却していたもので、同社の顧客情報を含む名簿を、ジャストシステムが購入していることが明らかになるなど大きな波紋を広げた。

流出した情報の内容は?

ベネッセが10日に発表した新たな調査結果としては、これまで「最大で約2070万件の個人情報流出」としていたものが、最大で約2895万件であることが判明。名簿を売り渡した元社員が名簿事業者に転売していた情報件数は約3504万件であったという。

なお、流出していた情報は以下の通り。

  • サービス登録者の名前と性別、生年月日

  • 同時に登録した保護者、子供の名前と性別、生年月日、続柄

  • 郵便番号

  • 住所

  • 電話番号(登録していた場合はFAX番号)

  • 出産予定日(一部サービス利用者のみ)

  • メールアドレス(一部サービス利用者のみ)

なお、以前の発表時にも触れられているが、クレジットカード情報については「名簿事業者へ売却された事実は、一切確認されていない」(ベネッセ)という。

ほかに、情報が流出した可能性のあるサービスとしては、これまで公表していたもの以外にも複数のサービスが流出した対象として新たに発表された。また、サービス利用者だけではなく、資料請求やWebサービス、アンケート、イベントなどで情報を登録した利用者、過去に同社が提供していたサービス利用者についても、情報流出の可能性がある。

対象サービス一覧

不正持ち出しを許した理由は?

不正持ち出しというあってはならない事案が発生した理由についてベネッセでは「悪意を持った内部者の犯行に対する不備があった」と、体制の甘さを認めている。

具体的には、犯行を行なった業務委託先の元社員が、シンフォームというデータベースの保守・管理業務を行なう会社で作業に従事。ベネッセは、業務の必要性から今回の不正持ち出しの対象となったデータベースに対する正規アクセス権を付与していたという。当該の元社員はこのアクセス権を悪用することで業務用PCに顧客情報を抽出。私物スマートフォンを利用して不正に外部持ち出しを行なっていたという。

なぜシステムで防げなかったのか?

問題点は「外部メディアへのデータ書き出し制限」と「データベースのアラート機能」「データベースのアクセスログのチェック」の3点。

外部メディアへのデータ書き出し制限については、一般企業と同様に社内規定で書き出しを禁止し、制御システムの導入も行なっていた。しかし、このシステムのバージョンアップを行なった際に、一部の最新スマートフォンに対する書き出しが制御対象外となってしまったという。これにより、外部メディアへの書き込みが可能となり、元社員が悪用。私物スマートフォンへの書き出しを許してしまったという。

2点目のデータベースのアラート機能については、ネットワーク環境内で大容量のデータ取り扱いについて「警告が発せられるアラート機能を設定していた」(ベネッセ)という。しかし、今回顧客情報が持ち出されたデータベースについてはアラート機能の設定対象に含まれていなかったという。

最後のデータベースのアクセスログについては、業務用PCからデータベースへのアクセスがあると自動的にアクセスログが記録される仕組みを実際に採用していた。しかし、定期的なモニタリングチェックをしておらず、結果として犯行を許してしまったという。

このように、情報漏えい対策を行なっていながらも、「自社の情報セキュリティに関する過信や経営層を含むITリテラシーの不足、性善説に立った監査、監視体制の運用といった企業風土に起因する甘さ」から、今回の問題に繋がったとベネッセは結論づけている。

再発防止策は?

再発防止策として同社は、日本最大級の情報セキュリティ専門会社であるラックの監査のもと、6項目にわたって対策を実施した。

  • アクセス権限の見直しを行い、必要最小限の担当者にのみ付与、同時にパスワード管理を強化

  • 端末へのダウンロード監督者を新たに選任

  • 大量データをダウンロードする際のアラート機能を設置

  • 業務端末における外部メディアとの接続を禁止する措置

  • アクセスログの監視を定期的に行なう

  • 執務スペースへの私物電子機器や記録媒体の持ち込み禁止と監視カメラの導入

また、セキュリティレベルを更に向上させるために、組織モデルの構造改革も行なった。

  • データベースの管理をベネッセホールディングスが行なう

  • データベースの保守・運用業務をラックとの合弁会社が運用

  • 外部監視機関の設置

今回の流出で顧客に対するケアは?

流出してしまった個人情報。ユーザーに対するベネッセの対応策は以下の2点となる。

  • 顧客への支援を行なう専門組織「お客様本部」の設置

  • 顧客への連絡とお詫び

お客様本部については8月4日に設置。顧客が漏えいした情報でなんらかの被害を被ることのないように、漏えいした情報を利用している可能性の高い事業者を把握して、利用停止の働きかけを行なっていくという。また、警察や公的機関との連携により、情報拡散の防止に今後も全力を尽くすとしている。

顧客への個別連絡(手紙)とお詫びについては、順次行なっているものの、全顧客に行き渡る時期は10月下旬を予定しているという。手紙には「お詫びの品」(ベネッセ)として500円分の金券(電子マネーギフトか全国共通図書カード)を同封している。

これらの対応とは別に、ベネッセでは財団法人の「ベネッセこども基金」も設立する。

「今回の事件の重大性や漏えいの対象が日本全国、膨大な件数であったことから、社会的責任を重く受け止めて」(ベネッセ)、別の形のお詫びの在り方として、財団法人の設立を決定したという。諸問題に対処する原資として用意していた200億円から一部を財団に拠出。この基金では、子供立ちへの支援や安心して学習に取り組める環境の確保を目的として活動を行なっていくという。

なお、今回の情報流出の対象者で、この財団の理念に「賛同をいただける方」(ベネッセ)については、お詫びの品である金券の受け取りの代わりに、基金に対する500円の寄付も選べるとしている。