ベネッセ個人情報流出事件

ベネッセ個人情報流出事件
日付	2014年7月9日（発覚）
概要	企業保管の個人情報の外部流出
対処	ベネッセ取締役2名の辞任
	テンプレートを表示

ベネッセ個人情報流出事件（ベネッセこじんじょうほうりゅうしゅつじけん）とは、2014年 7月9日に発覚したベネッセコーポレーション（ベネッセ）の大規模個人情報流出事件。

概要

この事件は、流出した顧客情報が最大で2070万件に及ぶ大規模なもの。流出した情報は、進研ゼミなどといったサービスの顧客の情報であり、子供や保護者の氏名、住所、電話番号、性別、生年月日など。ベネッセ側は、社内調査により、データベースの顧客情報が外部に持ち出されたことから流出したと説明^[1]。これはベネッセの顧客に、ベネッセのみに登録した個人情報を使った、別の通信教育を行う会社からのダイレクトメールが届くようになり、ベネッセから個人情報が漏洩しているのではないかという問い合わせの急増により発覚した^[2]。

この事件により、責任部署にいた二人の取締役が引責辞任することとなった^[3]。また、警視庁は不正競争防止法違反の疑いで捜査を開始したことが7月9日、警視庁への取材でわかった^[4]。

また、顧客情報を流用したのはIT事業者であり、通信教育事業を手掛けるジャストシステムであると共同通信が報じた^[5]。ちなみにジャストシステムへ名簿を提供したのは東京都福生市の名簿業者の文献社と報じられており、文献社の説明によると、東京都内の別の名簿業者から2014年4月下旬～5月ごろに購入したとされる^[6]^[7]。なおジャストシステムは7月10日、「当社がベネッセコーポレーションから流出した情報と認識したうえで、これを利用したという事実は一切ございません」と、否定したが、ダイレクトメールに使用した名簿を文献社から購入したか述べていない^[8]。また、文献社によると、文献社とジャストシステムはデータの出所が不明であると把握しており、両社ともベネッセのデータとは知らなかったとしている^[9]。

さらに、文献社に販売した東京都武蔵野市のパン・ワールドも「別の業者から買った」と述べた^[10]。

ベネッセは顧客情報に関するデータベースの運用や保守管理を岡山市に本社があるグループ企業「シンフォーム」に委託。同社はこうした業務を、さらに複数の外部業者に分散して再委託していた。シンフォームとパン・ワールドの間には、他の名簿業者が関与したとされている^[11]。

7月11日、ジャストシステムは、情報の出所が不明のまま購入していたことが社内の調査で判明し、企業としての道義的責任から、購入したデータ257万3068件すべてを、社内のデータベースから削除することを決めたと発表した^[12]。

7月12日、ジャストシステムの入手ルートとは別に、複数の名簿業者の間で取引されていたことがわかった^[13]。

ベネッセは、ジャストシステムが名簿を削除すると発表したことに対し、「一方的に情報を削除することは、警察や経済産業省による原因の究明を難しくするだけでなく、情報が漏えいしたお客様の不安感の払しょくには至らない」とコメントを発表。その上で、再発防止に向け、被疑者の特定だけでなく、データの流通ルートを解明し、流出した個人情報が出回っていないことを検証する必要があるとして、情報を購入した企業や名簿業者に、「積極的に情報を開示し、自主的に警察の捜査へ全面的に協力することを強く要請する」と情報開示を求めた。一方、「我々は自らの責任を他社に転嫁するものではありません。当社の責任は真摯に受け止め、全力をもって解決にあたる」とした。また、ジャストシステムは7月12日「まだ削除しておらず、警視庁から要請があれば対応する」と説明した^[14]^[15]。

7月15日、ベネッセは、同日付で、小林英明弁護士を委員長とする調査委員会を発足させたと発表^[16]。

7月16日、流出したデータは少なくとも3つのルートで名簿業者など約10社に拡散していたことがわかった^[17]。

7月17日午前、ベネッセは、顧客情報が流出した経緯や再発防止策をまとめた報告書を経産相に提出した^[18]。また、利用者への補償として200億円の原資を準備していること、受講費の減額などを検討していることを発表^[19]。

7月17日、シンフォームの派遣社員である、当時39歳のシステムエンジニアの男を逮捕^[20]。

7月18日、英会話学校大手のECCが流出した可能性がある約2万7000件の高校生のデータを大阪府大阪市の名簿業者「フリービジネス」から購入し、ダイレクトメールの発送に利用していたことが分かった。ECCはフリービジネスから高校1、2年の名簿計約7万5000件を計約60万円で購入。このうち約2万7000件がベネッセのデータとみられ、2月から5月にかけて約1万9200件のDMを送ったという^[21]。フリービジネスが販売したデータは2013年11月に千葉県内の名簿業者から購入した800万人分の名簿の一部で、ECCのほかに全国の塾や予備校、着物の販売店など数十社に要望に応じて販売していた^[22]。

同日、容疑者から顧客情報を買い取っていた東京都千代田区の名簿業者のセフティーの事務所を捜索した^[23]。

7月22日、ベネッセは、情報流出の状況について記者会見で、通信教育サービス以外の顧客どうしの交流サイト、出産や育児関連の通信販売サービスでも個人情報が流出したと発表した^[24]。この事件の影響により、2014年夏に開催予定だった鉄道博物館の一部イベント^[25]など、ベネッセ主催の子ども向けイベントを2014年秋まで中止することを決定した^[26]。なお、ベネッセは、定期的な外部監査を受け、個人情報を適切に管理する企業としてプライバシーマークを取得していた^[27]。

9月10日、ベネッセは記者会見を開き、顧客情報漏洩件数を3504万件と公表。個人情報漏洩被害者へ補償として金券500円を用意するとした。35社が漏洩した個人情報を利用しており、事業者に対して情報の削除を求めるなど利用停止を働きかけていると説明した^[28]。

10月28日、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者「セフティー」（東京都千代田区から台東区に移転）の事務所など関係先6カ所を不正競争防止法違反（営業秘密の開示・複製）容疑で家宅捜索した^[29]。

11月26日、日本情報経済社会推進協会はベネッセのプライバシーマーク付与を取り消した^[30]^[31]。

日本国政府の対応

7月10日、今回の事態を重く見た経済産業省はベネッセコーポレーションに対して「個人情報保護法に基づき、本件に係る事実関係などについての詳細を7月17日までに書面にて提出するよう」報告徴収指示を出したことを発表した^[32]。
7月11日、茂木敏充経済産業大臣は閣議後の記者会見で全国学習塾協会や日本通信販売協会など業界団体に対して同種事案の再発防止策を求めることを明らかにした^[33]。同じく7月11日の閣議後の記者会見で菅義偉内閣官房長官が「個人情報保護法改正も検討せねばならない」と語っている^[34]。
7月11日、下村博文文部科学大臣は定例記者会見の席上で「経産省において、個人情報保護法に基づく報告徴収等を踏まえた対応が行われるとともに、警察による捜査も開始されているものと承知」しているとし、教育委員会等に個人情報の取扱いに関する一定の指針を示すことはないが、検証していきたいと答えるに留めた^[35]。
7月15日、経済産業省は全国学習塾協会、全国学習塾協同組合、日本通信販売協会の3つの団体の業界団体に対し、個人情報の適切な管理を強化することなどを要請した^[36]。
7月17日、経済産業省は情報を名簿業者から購入していたジャストシステムから、事情聴取する方針を決めた^[37]。
7月18日、経済産業省はジャストシステムに対し、個人情報の管理体制を強化するよう要請し、新たに講じる対策の内容の報告を求めた^[38]。
7月22日、国民生活センターは国民に対し、調査を装った詐欺に注意するよう呼びかけた^[39]。
総務省は7月24日付で政府全省庁と独立行政法人に対して、『保有個人情報の徹底管理』を要請したことを新藤義孝総務大臣が7月25日の定例記者会見の席にて発表した^[40]。
7月25日、経済産業省はベネッセから流出した可能性のある個人情報を購入したECCに、情報の入手先が適正かなどについて確認を徹底するよう求めた^[41]。

裁判

情報を持ち出したとして不正競争防止法違反（営業秘密の複製、開示）の罪に問われたSEに対する裁判は東京地方裁判所で行われた。弁護側は流出した個人情報は営業秘密に当たらないとして無罪を主張した。2016年3月29日、判決ではベネッセ側が機密保持対策を行っていたことを理由に弁護側の主張を退け、懲役3年6ヵ月、罰金300万円の実刑判決を言い渡した。弁護側は即日控訴した。^[42]

ベネッセ個人情報流出事件

概要

日本国政府の対応

裁判

脚注

関連項目