ネット上の誹謗中傷対策をITに強い弁護士に相談

0120-543-138 受付時間:平日10:00 - 18:00 相談料無料

ベネッセの個人情報流出事件

マイナンバー制度導入の影響などもあり、昨今では個人情報の保護が強く叫ばれています。そんな中、個人情報を扱う企業の多くは、個人情報の管理に多くの経費を投じてその対策を行っています。なお、そのきっかけとなったとも言える事件を、皆さんは覚えていますでしょうか。

それは、2014年7月に発生したベネッセの個人情報流出事件です。この事件が社会に与えたインパクトは今なお強く残っています。
そこで今回は、ベネッセ個人情報流出事件を振り返りながら、個人情報管理の大切さについて考えてみたいと思います。

ベネッセ個人情報漏洩事件とは


出典:http://www.benesse.co.jp/

まずはこの事件の概要から振り返ってみましょう。そもそもこの事件はベネッセの会員からの指摘によって発覚しました。ベネッセの会員宛に多くのDMが届くようになったため、不審に思った会員が問い合わせをしたそうです。

そこから社内で内部調査を開始したところ、なんと登録している会員2900万件の個人情報が流出していることが判明したのです。これによりベネッセは現会員の信用を失墜したばかりか、新たな会員の獲得も落ち込み結果的に数十億円もの赤字を被ってしまいました。

ベネッセの個人情報はなぜ漏洩したのか

ここからは、ベネッセが行った調査報告書をもとに解説していきます。
ベネッセはこの事件を受けて、同年に調査委員会を設置し、述べ63名に及ぶ関係者に対し事情聴取を実施し、さらに関係資料などを分析、検証しました。
その結果をまとめると以下の通りです。

【業務委託について】

ベネッセの個人情報については、ベネッセのグループ会社であるシンフォームに委託していましたが、シンフォームからさらに外部にも再委託されており、複数の下請け業者が存在していました。

【セキュリティについて】

シンフォームのセキュリティについては、施設への入管の際に入管証の発行を受けた一部の人間のみが入室可能で、出入り口付近には監視カメラも設置されていたそうです。なお、シンフォームが業務委託先に貸与したクライアントPCについても、ワイヤーロックにより施錠がされており、常時持ち出しすることはできない状況下にありました。

【クライアントPCのセキュリティ対策について】

クライアントPCの運用においては、当時次のようなセキュリティ対策がとられていました。

  1. 社内規程によって、各システムユーザーに対し、認証 ID を割り当ててパスワードを設定していた。
  2. パスワードについては、定期的に更新すると定められていた。
  3. クライアントPC にはネットワーク接続設定、標準ソフトウェアが搭載されており、基本的にはシステム管理部門の許可なく標準仕様を変更することはできないこととされていた。
  4. クライアントPC によるネットワークの使用状況・内容について、操作ログを記録することが定められていた。
  5. クライアントPCは、不要なソフトのインストールが制御されていた。
  6. 不要な外部サービスについては、URLフィルタリングツールにより接続ができない仕様になっていた。

【個人情報漏洩の手口】

個人情報の漏洩を行った派遣社員は、シンフォームにおいて、データベースから顧客情報を抽出してクライアントPCに保存し、その上でクライアントPCから自身のスマホにUSBケーブルを使って転送し個人情報を漏洩させました。

何が問題だったのか

今回の個人情報の漏洩は、事前に防ぐことはできなかったのか、これを検証するために、ベネッセの報告書からその原因としてあげられた4つの問題点を解説します。

アラートシステムが機能しなかった

シンフォームは、個人情報データベースとクライアントPCの間のアクセスログ、通信ログについては、記録されるよう設定していました。

また、サーバの通信量が一定値を超えた際には、担当部門の部長にメールでアラートが送信される仕組みとなっていました。にもかかわらず、このアラートの対象範囲に今回の漏洩に至った際のアクセスが含まれていなかったようで、派遣社員が不正にアクセスした際にはアラートが機能しなかったのです。

書き出し制御システムが機能しなかった

クライアントPCから外部に情報を書き出ししようとすると、通常は書き出し制御システムによって書き出しはできない状態になっていました。ところが、この制御システムが、新機種のスマホなどに対応できていないことに派遣社員が気がつき、これを悪用して不正に情報を書き出すことができたのです。

アクセス権限の管理

データベースへのアクセス権限について、作業に必要であれば容易に権限を与えられる状態であったこと、さらに付与済みのアクセス権限の見直しがされていなかったことなども原因とみられます。

データベース自体の管理体制

データベースに保存されている個人情報を、細分化、階層化して個別にアクセス権限を設定していなかった。

これらの点が相まって個人情報の大量流出を発生させてしまったのです。

ベネッセ個人情報流出事件から学ぶこと

この事件から学ぶことは、まず個人情報の管理については、社員のモラルだけでは達成できないということです。もちろんモラルや意識を高めるための社員教育は必ず必要です。

けれども、それだけで個人情報が守れる世の中ではなくなったのです。今や一人一台スマホを所持しており、その気になれば様々な方法で個人情報を抜き取ることができてしまいます。そのため、大量の個人情報を扱う会社は、その取り扱いやセキュリティ対策について、万全に万全を重ねて対策を講じる必要があります。

確かにそれなりの予算は必要ですが、ベネッセが被った数十億円の赤字と信用失墜のダメージを考えれば、会社を守るためにも必ず講じるべきでしょう。

一度漏れてしまった個人情報は二度と取り返せません。そのことを強く意識して徹底した管理体制を取ることが、今多くの企業に求められているのです。