ベネッセ個人情報漏洩事件のすべて|企業は加害者?それとも被害者?|サイバーセキュリティ.com

ベネッセ個人情報漏洩事件のすべて|企業は加害者?それとも被害者?



2014年7月、ベネッセホールディングスの子会社ベネッセ・コーポレーション(以下ベネッセ)にて大量の個人情報が流出しました。東京オリンピック開催に向け「アノニマス」を始めとする日本企業を狙ったサイバー攻撃が増加している現在、もちろん外敵に対する対策は必要不可欠ですが、敵は内部にも潜んでいるということを強く感じさせられた歴史的事件だったのではないでしょうか。

今回は、ベネッセ個人情報漏洩事件の概要から、なぜこの様な事態が起こったしまったのか、その原因と、結果ベネッセが被った実質的な被害、その後行った具体的対策まで詳しくご紹介します。

ベネッセ個人情報漏洩事件概要

benesse

≪2014年7月/記者会見≫ベネッセホールディングス原田泳幸会長兼社長(手前)とベネッセコーポレーション小林仁社長

個人情報漏洩事件は、2014年の6月、会員からの問い合わせにより発覚しました。ベネッセが展開する教育サービスに会員登録をしている各家庭に、全く関係のない企業からダイレクトメッセージが届くようになったのです。

この問い合わせ増加を受け、ベネッセでは社内調査を開始します。その結果、進研ゼミを始めとする展開サービスへの登録会員約2,900万件の個人情報が漏洩していることが発覚します。

漏洩した個人情報の内容は下記の通りです。

  • 保護者氏名
  • 子供氏名
  • 子供性別
  • 子供生年月日
  • 住所
  • 電話番号
  • 出産予定日(一部サービス利用者のみ)
  • メールアドレス(一部サービス利用者のみ)

しっかりとしたセキュリティ対策を施していたベネッセの情報は一体どの様に外部へ持ち出されたのでしょうか?

警視庁による調査の結果、当時東京支社に勤務していた派遣社員の男性が逮捕されます。

ベネッセでは、個人情報の管理をグループ企業である「シンフォーム」へ委託していましたが、さらに複数の外部下請けが存在していたことが分かりました。この結果、ベネッセでは情報が漏洩してしまった登録会員に対し、図書カードや電子マネーギフトによるお詫びを行い、これらの費用として約136億円の赤字を被ることとなりました。

また、この事件に対する責任として、福島保副会長(ベネッセホールディングス社長)と最高情報責任者(CIO)の明田英治取締役(ベネッセコーポレーション社長)が引責辞任となっています。

情報漏洩はどうして起こってしまったのか?

ベネッセの会員情報管理はグループ企業であるシンフォームへ委託されていましたが、実際のところ、システム保守の部分に関しては別業者へ再委託され、管理業務に携わるのは再委託先の従業員となっていました。

当時、再委託先の派遣社員であった男性は、個人のスマートフォンを充電しようと貸与PCへ接続した際、データの移行が可能であることを発見します。その後、名簿業者への売却を目的に約20回の持ち出しが行われました。この派遣社員が持ち出した個人情報は、重複分も含めると約2億300万件にも上ります。

名簿業者へ売却された個人情報は、数回の転売を経て、ジャストシステムやECC、全国の学習塾、予備校、着物販売店等数十社に渡り、ベネッセ会員へ各社のダイレクトメールが届くという結果をもたらしたのです。

benesse4

犯行を行った派遣社員の男性は、シンフォームの再委託先である1社に勤めており、2012年4月から派遣社員としてシンフォーム営業所にて業務を行っていました。

顧客データベースの開発に関与しており、システムが設計通りに動くかの保守作業を担当していたことが分かっています。経歴20年以上のベテランスタッフで、他の派遣社員を指導する立場であったため、彼の行動が周囲に発見されることは難しかったようです。

また、名簿売却で得た収入は、ギャンブルによる借金(300万円程度)の返済に充てられたと考えられています。

情報漏洩が起こった結果

この事態に対し、ベネッセでは下記対応が行われました。

具体的対応

  • 顧客情報データベースの稼働停止
  • 問い合わせ窓口の設置(100回線程度の専用電話)
  • 新たな顧客への販売促進活動の停止(各種イベント等含む)
  • 情報漏洩が確定した会員への連絡
  • 事故調査委員会の設置(外部有識者による第三者委員会)

補償対応

  • 図書券や電子マネーの送付
  • 受講料減額

200億円を原資として上記対応を行い、260億円が特別損失として計上されました。

情報漏洩事件を経て、ベネッセはどう変わるのか

benesse3

この事件では、外部の攻撃に対し万全な対策を行っていたとしても、内部に敵がいる場合、いとも簡単に情報の持ち出しが行えてしまうということが明白になりました。

ベネッセでは、顧客データベースへのアクセス監視強化、外部持ち出しへの制限強化を行うとともに、情報セキュリティ専門会社による監査の実施を決め、ガバナンス強化に向けた取組計画の策定が行われました。また、漏洩した会員情報を使用したとされる各企業に対し、拡散防止の協力を求め、事件は一旦収束に向かいます。

しかし、一度崩れた信頼は簡単には取り戻せないのです。個人情報漏洩事件年後、2015年3月期連結決算ではベネッセの主力事業である「進研ゼミ」や「こどもチャレンジ」といった通信教育講座の会員減少に歯止めがかからず、前年同期の会員数に比べ26%のマイナス、最終損益は107億円の赤字となり、上場以来初の赤字を計上することとなりました。

想像以上に大きい“個人情報漏洩”のインパクト

個人情報漏洩事件から2年。ベネッセの2016年3月期連結決算の最終損益は82億円の赤字となりました。

個人情報漏洩対策で約260億円の特別損失を計上した2015年3月期の107億円に続き、2期連続の最終赤字を記録し、ベネッセホールディングスの原田会長兼社長は引責辞任を発表。

2015年3月期の業績予想では最終損益38億円の黒字を見込んでいたにもかかわらず、会員の再獲得や、新戦略が難航していることが分かります。一度の“個人情報漏洩”が与えるインパクトは、これ程までに大きいのです。

規模の大きな企業であれば、グループ内での業務委託や、情報共有はそう珍しいことではありません。しかし、情報を取り扱う「場所」「人」「端末」が増えれば増えた分、セキュリティ対策は複雑となります。責任の所在を明確にすることも重要ですが、同時に情報管理業務に携わる人材の管理や、現場レベルでのセキュリティ意識の向上が求められています。

では次に、事件から約2年が経過したベネッセの現状の取り組みをご紹介いたします。「ベネッセお客様本部」を設置し【より確かな安心・信頼に向けて】行われている様々な取り組みは、情報漏洩リスクに対峙している日本企業にとって、学ぶ点が多いのではないでしょうか。

今もなお続く“情報漏洩企業”のイメージ

事件以前ベネッセの主力サービスであった「進研ゼミ」や「こどもチャレンジ」の会員数は現在も減少を続け、一時経営状態は極めて危険な状態に陥りました。これに対し、新たに新卒大学生を対象にした就職支援サービスなどを開始し、新規会員獲得を目指しています。

しかし、いくら画期的な新サービスを開始したとしても、「ベネッセ=情報漏洩企業」という消費者のイメージは簡単には拭えず、信頼回復に向けた様々な取り組みに注力せざるを得ません。今もなお続く、ベネッセの信頼回復に向けた取り組みとはどのようなものなのでしょうか?

情報セキュリティ強化の取り組み

benesse5

「お客様情報の安全性に、いちばん厳しい会社になる。」

この決意の下、ベネッセでは、全グループのシステム管理を担当する株式会社ベネッセインフォシェルを設立し、高水準のセキュリティレベルを実現しています。

また、外部有識者による監査や、社内セキュリティレベル強化に向けた研修等を積極的に行っています。

<参照>ベネッセお客様本部

情報セキュリティWEB研修の実施

ベネッセホールディングス及びベネッセコーポレーションでは、全従業員(役員~アルバイトスタッフまで)に情報セキュリティのWEB講習が義務付けられています。個人情報の取り扱いを中心としたセキュリティルールや基本知識の再確認を目的としたこの研修では、受講後にテストを行い満点となるまで修了しない仕組みとなっています。

また、システム管理者であるベネッセインフォシェルでは、より高度な研修プログラムを用いており、グループ全体での情報セキュリティ強化が図られています。

情報セキュリティISMS取得

benesse6

2016年3月、ベネッセホールディングス、ベネッセコーポレーション、ベネッセインフォシェルのグループ3社は、情報セキュリティマネジメントシステムに関する国際認証規格ISO 27001を認証取得しました。

情報セキュリティに関するリスクを管理し、継続的にリスクの低減や回避を図っていく組織的な取り組みが続けられています。

 不審な勧誘・営業活動への取り組み

ベネッセでは、社内の情報セキュリティ強化とともに、漏洩した情報を基に現在も行われている勧誘や営業に対する抑止活動を地道に続けています。

具体的な活動内容

  • 不審な勧誘等の情報収集
  • お客様本部での情報分析
  • 利用停止の申し入れ等

現在78社の事業者に対し、情報の利用停止や事実確認を実施しており、この取り組みは今後も行われます。

世界トップクラスのセキュリティを実現

前述の通り、ベネッセではグループ内の情報システム運用や保守を担当するIT機能子会社「株式会社ベネッセインフォシェル」を設立し、システム制御などのソフト面はもちろん、執務環境などのハード面や従業員教育を高水準のセキュリティレベルで実現しています。

benesse7 benesse8

具体的取り組みとして、グループ全体をゾーニングし区分に応じたセキュリティが施されています。

セキュリティゾーンの定義

  • ゾーン1 従業員が予め許可を得た外部者と打合せを行う
  • ゾーン2 許可された従業員のみ入室可能(一般執務ゾーン)
  • ゾーン3 限られた従業員に入室が限定(高セキュリティゾーン)
  • ゾーン4 最高レベルの入退室管理、監視・記録(特別作業ゾーン)

情報漏洩事件から学び、乗り越える

“情報漏洩事件を起こしたベネッセは加害者なのか、被害者なのか”…捉え方は人それぞれです。杜撰な管理体制を問題視していなかったベネッセの経営姿勢は褒められたものではありませんが、性善説の傾向が強い日本では、同じような企業はたくさんあるのではないでしょうか。

この事件を機に、セキュリティレベルを数倍にも強化したベネッセが、主力事業である教育サービス分野において、更なるサービス革新を起こしていく事を期待します。

参照Wikipedia/ベネッセ個人情報流出事件
参照piyolog/ベネッセの情報漏えいをまとめてみた


SNSでもご購読できます。