「ベネッセ」の個人情報流出から見る、「名簿業者」の存在

「進研ゼミ」や「しまじろう」などで有名な通信教育を主力事業とするベネッセで、個人情報流出の事故が起きました。社内のデータベースを操作できる人で社員ではない。このようになれば、いわゆる外注さんが持ち出したという発表になっています。

この持ち出した人が「名簿業者」に販売して、その名簿を一太郎で有名な「ジャストシステム」が購入し、そのデータを使ってセールをしたことで発覚したようです。

この事故のについては、インターネットウォッチでは以下のよう記事にしてます。

株式会社ベネッセコーポレーションは9日、同社が提供する通信教育サービス「こどもちゃれんじ」「進研ゼミ」などの顧客に関する情報約760万件が外部に漏えいしたと発表した。漏えいしたデータベースに保管されている情報の件数から推定すると、最大で約2070万件が漏えいした可能性があるという。

漏えいした可能性があるのは、ベネッセの通信教育サービスなどを利用または過去に利用していた顧客の情報。漏えいした情報の項目は、郵便番号、顧客である子供とその保護者の氏名（漢字およびフリガナ）、住所、電話番号、子供の生年月日・性別で、クレジットカード番号や成績情報などその他の項目は含まれない。

ベネッセによると、6月26日以降、「ベネッセのみに登録していた個人情報で、他社からダイレクトメールやセールス電話が来ている」という問い合わせが急増し、調査を開始。6月30日には、経済産業省に状況の報告と今後の対応について相談するとともに、所轄の警察にも状況の報告と対応について相談した。

その後、調査会社が名簿事業者を把握し、入手した名簿とマッチングした結果、ベネッセが保有するデータが漏えいした可能性が極めて高いと判断。社内調査を進める中で、特定のデータベースから何らかの形で外部に顧客情報が持ち出されていたことが7月7日に判明し、ベネッセからの相談に基いて警察が捜査を開始したという。

また、ベネッセでは漏えいした顧客情報の拡散防止と二次被害の防止のため、名簿を使ってダイレクトメールの送付や電話をかけている企業と名簿事業者に対して、名簿の利用・販売の中止を求める書簡（内容証明郵便）を発送した。

ベネッセでは、社外からの不正アクセスについて、過去にさかのぼってその可能性を検証したが、顧客情報の漏えいにつながる不正アクセスによる異常は発見されておらず、セキュリティ専門会社が行っている不正アクセスの監視でも異常がなかったことしている。

また、社内調査では、原因として、同社グループ社員以外の内部者（データベースにアクセスできる権限を持つ者）による情報漏えいと推定しているが、すでに警察の捜査も始まっており、捜査に支障が出る可能性があるため、詳細については開示を控えるとしている。

要約すると、冒頭に記載した内容になるわけですが、「名簿業者」はまだいたのかという驚きと共に「ジャストシステム」といったそれなりの企業でも「名簿業者」から購入したデータを使っているのだということを知り驚きました。

このような状況では、データを持ち出した外部の人物はほぼ特定できているのだろうと思います。そんなに、誰でもアクセスできる場所にデータがあったらベネッセ自体が個人情報保護法違反に問われかねない状況でしょう。しかし、コスト削減や専門家の不足など様々な理由があるかと思いますが、このような情報を外部の人間がアクセスできる仕組みが存在することが課題なのではないでしょうか？

金融系のシステムでも、階層構造の下請けシステムが存在していますが、そこの一部に「意図的」に「隠すように」データを操作するコードが入っていたらと思うと、怖くなります。

いままでは、「日本人同士なのでそんなに悪いことをしないだろう」や「日本人は勤勉だから」などといわれて見過ごされてきましたが、日本人同士でも格差が広がり様々な違いで出て来ているので差異を意識したルール作りや組織づくりなどが必要になってくるのだろうと感じました。