とろけそうに暑いなあと思いながら、車を運転していたら、アスファルトの道路に、陽炎が立ち上っていました。
でも、陽炎って、春の季語なんですね。
2014年7月9日に公表された株式会社ベネッセコーポレーション(以下、「ベネッセ」)の顧客情報流出。
連日のように紙面に載る大きな扱いでした。
ベネッセのニュースリリースによれば、顧客情報を社外に流出させたのは、ベネッセのシステム開発・運用を行っているグループ会社の業務委託先の元社員とのこと。
http://www.benesse-hd.co.jp/ja/about/release_20140717_2.pdf
また、報道(日本経済新聞、産経新聞)によれば、当該社員は、平成25年7月、グループ会社で勤務中、スマホを充電しようと、データベース端末にケーブルを差し込んだところ、データベース端末がスマホを記憶媒体として認識したことにより、セキュリティ上の欠陥を発見。その日のうちに、21歳以下に絞った顧客情報をスマホに保存して自宅に持ち帰り、後日、名簿業者に売却したといいます。
当該社員は、ベネッセの情報流出公表から約1週間後、不正競争防止法違反(営業秘密の複製*)容疑で逮捕されました。
* 営業秘密不正領得罪(不正競争防止法21条1項3号ロ)であると推察されます。
「第二十一条 次の各号のいずれかに該当する者は、十年以下の懲役若しくは千万円以下の罰金に処し、又はこれを併科する。
三 営業秘密を保有者から示された者であって、不正の利益を得る目的で、又はその保有者に損害を加える目的で、その営業秘密の管理に係る任務に背き、次のいずれかに掲げる方法でその営業秘密を領得した者
ロ 営業秘密記録媒体等の記載若しくは記録について、又は営業秘密が化体された物件について、その複製を作成すること。」
ベネッセは、「個人情報漏えい事故調査委員会」を発足させており、1カ月程度を目途に調査結果を報告するとのことです。
実は、先日、愛知県弁護士会コンプライアンスチームのチーム会で、事例研究の報告担当にあたっていたので、ベネッセ事件をとりあげました。
コンプライアンスの観点から注目すべきは、調査委員会の報告書をまたなければ正確なことは申せませんが、報道を前提とすれば、以下のような諸点があげられるのではないかと思います。
・アクセス権限は適正だったか
(当該社員に、全件ダウンロードという広範な権限を認める必要はあったのか。あるとして、アクセス権限が不正に利用されないよう対策はとっていたのか。)
・当該社員が勤務していたグループ会社でとられていたセキュリティ対策は、厳正に運用されていたか。
(たとえば、私物の持込み禁止が徹底されていなかったと思量されます。)
・社外からの不正アクセスのみならず、社内の不正に対しても、対策を十分に講じるべきだったのではないか(アクセスログを保存しながら、定期的にチェックしていなかったのではないか。)
・万が一、情報が流出したとしても、被害を最小限にする工夫がなされていたのか(利便性を優先させ、データベースを統合したことが、被害拡大を招いたのではないか)
また、情報漏えい公表当初のベネッセ経営陣の対応(金銭補償の否定等)は、危機対応についても教訓を残しているのではないでしょうか。
ところで、私が今回の情報流出で一番驚いたのは、ベネッセから流出した情報の件数です。
7月21日付のベネッセのニュースリリースでは、当該社員のスマートフォンに残されていた顧客情報は、約2260万件であるとされています。
http://blog.benesse.ne.jp/bh/ja/ir_news/m/2014/07/22/uploads/pdf/news_20140721_jp.pdf
報道によれば、この他に、流出経路が不明な40万件があるため、漏えい件数は、約2300万件に上る可能性があるとのことです。
ちなみに、平成24年10月現在の20歳未満(0~19歳)の人口を調べてみると、約2260万人(平成25年度版子供・若者白書(内閣府))。
http://www8.cao.go.jp/youth/whitepaper/h25honpen/b1_01_01.html
ということは、前述のように、当該社員が21歳以下に絞った顧客情報をスマホに保存して社外流出させたとすれば、ベネッセが保有していた顧客情報は、21歳以下の日本国民をほとんど網羅していたともとれます。
ベネッセは、どのようにして、このような大量の情報を収集し得たのでしょうか。
ベネッセは、通信教育事業において、圧倒的シェアを誇るとはいえ(同社HPによれば、2011年で89%)、「進研ゼミ」「こどもちゃれんじ」の国内会員数は、2014年4月現在で、365万人、対象人口の約5人に1人だといいます(同社HPより。これでも、すごい数ですが…)。
同社のHPによれば、DMの発送停止を申し入れられても、削除を希望しない限り、データの保有は続けているようなので、退会者のデータ等も、勿論、保有しているのでしょう。
また、今回の流出の対象商品・サービスには、ペット関連や、通信販売、妊娠・育児等に関する「口コミ」を情報交換するサイト等も含まれています。
それにしても、計算が合わないのでは…。
要するに、ベネッセは、新・旧の会員・登録者等以外の個人情報を集めていたものと思量されます。
確かに、2006年(平成18年)11月1日に改正住民基本台帳法が施行される前は、住所・氏名・生年月日・性別の基本4情報について、商業目的での大量閲覧(個人を特定しない閲覧)が許されていました。ベネッセも、大量閲覧を利用していたと思量されます。しかし、同法改正後、既に、7年以上経過しています。
報道では、ベネッセは、イベントを利用して子供の個人情報を収集することも、行っていたといいます。
お子さんをお持ちの方の中には、たとえば、水族館に行き、水族館でもスタンプラリーをしているので、同種のチャレンジが2パターンあるのかと、どちらもチャレンジしたところ、1つについては、水族館を出たところにあるテントに誘導され、ベネッセのアンケートにこたえることになってしまった…というような経験をお持ちの方がいらっしゃるのではないでしょうか。
今回の情報流出には、イベント参加者の情報も含まれているといいます。
また、ベネッセに未加入のお子さんをお持ちの方で、毎月送られてくるDMに同封されているDVDや付録をみて、「しまじろう、やりた~い!」とせがまれた経験をお持ちの方もいらっしゃるのでは…。
0歳から21歳までの子供の生年月日を含む情報流出…。情報流出から公表までに相当の時間が経過しており、流出した情報は、既に、拡散しているといいます。国民生活センターが不審な勧誘について公表したことを鑑みても、子供が成長するにしたがって、今後長らく不正に利用される恐れを否定し得ません。
子供の情報を積極的に収集し、利用していたと考えられるベネッセが、子供の情報を適切に管理できず流出させてしまったことに対し、反発・怒りを覚えていらっしゃる親御さんも多いのではないでしょうか。
今回の情報流出では、情報を流出させたベネッセのみならず、流出した情報を名簿業者から購入してDM送付に利用したとされる「教育関連事業を行うIT事業者」についても、その社会的信用(株価等)に影響が及んだことが、注目されます。
「教育関連事業を行うIT事業者」の他、英会話学校大手も、ベネッセから流出した高校生のデータを名簿業者から購入しDM発送に利用していたとの報道がなされています。
2005年(平成17年)4月1日に個人情報保護法が全面施行されて以降、クラス名簿の配布を自粛している学校が多いようなご時世です。
子供宛てのDMを受け取った場合、どのようにして、子供の生年月日、氏名、住所を知り得たのかと、不審、不快に思う親御さんも、多いことでしょう。
また、仮に、DM送付により一定の新規顧客獲得が見込まれるとしても、今回のような不祥事が一度生じれば、会社経営に与える影響は甚大です。
今回の事件は、安易な名簿業者の利用についても、警鐘を鳴らしているのではないでしょうか。