ベネッセ個人情報流出事件
ベネッセ個人情報流出事件 | |
---|---|
日付 | 2014年7月9日(発覚) |
概要 | 企業保管の個人情報の外部流出 |
対処 | ベネッセ取締役2名の辞任 |
ベネッセ個人情報流出事件(ベネッセこじんじょうほうりゅうしゅつじけん)とは、2014年7月9日に発覚したベネッセコーポレーション(ベネッセ)の大規模個人情報流出事件。
概要
この事件は、流出した顧客情報が最大で2070万件に及ぶ大規模なもの。流出した情報は、進研ゼミなどといったサービスの顧客の情報であり、子供や保護者の氏名、住所、電話番号、性別、生年月日など。ベネッセ側は、社内調査により、データベースの顧客情報が外部に持ち出されたことから流出したと説明[1]。これはベネッセの顧客に、ベネッセのみに登録した個人情報を使った、別の通信教育を行う会社からのダイレクトメールが届くようになり、ベネッセから個人情報が漏洩しているのではないかという問い合わせの急増により発覚した[2]。
この事件により、責任部署にいた二人の取締役が引責辞任することとなった[3]。また、警視庁は不正競争防止法違反の疑いで捜査を開始したことが7月9日、警視庁への取材でわかった[4]。
また、顧客情報を流用したのはIT事業者であり、通信教育事業を手掛けるジャストシステムであると共同通信が報じた[5]。ちなみにジャストシステムへ名簿を提供したのは東京都福生市の名簿業者の文献社と報じられており、文献社の説明によると、東京都内の別の名簿業者から2014年4月下旬~5月ごろに購入したとされる[6][7]。なおジャストシステムは7月10日、「当社がベネッセコーポレーションから流出した情報と認識したうえで、これを利用したという事実は一切ございません」と、否定したが、ダイレクトメールに使用した名簿を文献社から購入したか述べていない[8]。また、文献社によると、文献社とジャストシステムはデータの出所が不明であると把握しており、両社ともベネッセのデータとは知らなかったとしている[9]。
さらに、文献社に販売した東京都武蔵野市のパン・ワールドも「別の業者から買った」と述べた[10]。
ベネッセは顧客情報に関するデータベースの運用や保守管理を岡山市に本社があるグループ企業「シンフォーム」に委託。同社はこうした業務を、さらに複数の外部業者に分散して再委託していた。シンフォームとパン・ワールドの間には、他の名簿業者が関与したとされている[11]。
7月11日、ジャストシステムは、情報の出所が不明のまま購入していたことが社内の調査で判明し、企業としての道義的責任から、購入したデータ257万3068件すべてを、社内のデータベースから削除することを決めたと発表した[12]。
7月12日、ジャストシステムの入手ルートとは別に、複数の名簿業者の間で取引されていたことがわかった[13]。
ベネッセは、ジャストシステムが名簿を削除すると発表したことに対し、「一方的に情報を削除することは、警察や経済産業省による原因の究明を難しくするだけでなく、情報が漏えいしたお客様の不安感の払しょくには至らない」とコメントを発表。その上で、再発防止に向け、被疑者の特定だけでなく、データの流通ルートを解明し、流出した個人情報が出回っていないことを検証する必要があるとして、情報を購入した企業や名簿業者に、「積極的に情報を開示し、自主的に警察の捜査へ全面的に協力することを強く要請する」と情報開示を求めた。一方、「我々は自らの責任を他社に転嫁するものではありません。当社の責任は真摯に受け止め、全力をもって解決にあたる」とした。また、ジャストシステムは7月12日「まだ削除しておらず、警視庁から要請があれば対応する」と説明した[14][15]。
7月15日、ベネッセは、同日付で、小林英明弁護士を委員長とする調査委員会を発足させたと発表[16]。
7月16日、流出したデータは少なくとも3つのルートで名簿業者など約10社に拡散していたことがわかった[17]。
7月17日午前、ベネッセは、顧客情報が流出した経緯や再発防止策をまとめた報告書を経産相に提出した[18]。また、利用者への補償として200億円の原資を準備していること、受講費の減額などを検討していることを発表[19]。
7月17日、シンフォームの派遣社員である、当時39歳のシステムエンジニアの男を逮捕[20]。
7月18日、英会話学校大手のECCが流出した可能性がある約2万7000件の高校生のデータを大阪府大阪市の名簿業者「フリービジネス」から購入し、ダイレクトメールの発送に利用していたことが分かった。ECCはフリービジネスから高校1、2年の名簿計約7万5000件を計約60万円で購入。このうち約2万7000件がベネッセのデータとみられ、2月から5月にかけて約1万9200件のDMを送ったという[21]。フリービジネスが販売したデータは2013年11月に千葉県内の名簿業者から購入した800万人分の名簿の一部で、ECCのほかに全国の塾や予備校、着物の販売店など数十社に要望に応じて販売していた[22]。
同日、容疑者から顧客情報を買い取っていた東京都千代田区の名簿業者のセフティーの事務所を捜索した[23]。
7月22日、ベネッセは、情報流出の状況について記者会見で、通信教育サービス以外の顧客どうしの交流サイト、出産や育児関連の通信販売サービスでも個人情報が流出したと発表した[24]。この事件の影響により、2014年夏に開催予定だった鉄道博物館の一部イベント[25]など、ベネッセ主催の子ども向けイベントを2014年秋まで中止することを決定した[26]。なお、ベネッセは、定期的な外部監査を受け、個人情報を適切に管理する企業としてプライバシーマークを取得していた[27]。
9月10日、ベネッセは記者会見を開き、顧客情報漏洩件数を3504万件と公表。個人情報漏洩被害者へ補償として金券500円を用意するとした。35社が漏洩した個人情報を利用しており、事業者に対して情報の削除を求めるなど利用停止を働きかけていると説明した[28]。
10月28日、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者「セフティー」(東京都千代田区から台東区に移転)の事務所など関係先6カ所を不正競争防止法違反(営業秘密の開示・複製)容疑で家宅捜索した[29]。
11月26日、日本情報経済社会推進協会はベネッセのプライバシーマーク付与を取り消した[30][31]。
日本国政府の対応
- 7月10日、今回の事態を重く見た経済産業省はベネッセコーポレーションに対して「個人情報保護法に基づき、本件に係る事実関係などについての詳細を7月17日までに書面にて提出するよう」報告徴収指示を出したことを発表した[32]。
- 7月11日、茂木敏充経済産業大臣は閣議後の記者会見で全国学習塾協会や日本通信販売協会など業界団体に対して同種事案の再発防止策を求めることを明らかにした[33]。同じく7月11日の閣議後の記者会見で菅義偉内閣官房長官が「個人情報保護法改正も検討せねばならない」と語っている[34]。
- 7月11日、下村博文文部科学大臣は定例記者会見の席上で「経産省において、個人情報保護法に基づく報告徴収等を踏まえた対応が行われるとともに、警察による捜査も開始されているものと承知」しているとし、教育委員会等に個人情報の取扱いに関する一定の指針を示すことはないが、検証していきたいと答えるに留めた[35]。
- 7月15日、経済産業省は全国学習塾協会、全国学習塾協同組合、日本通信販売協会の3つの団体の業界団体に対し、個人情報の適切な管理を強化することなどを要請した[36]。
- 7月17日、経済産業省は情報を名簿業者から購入していたジャストシステムから、事情聴取する方針を決めた[37]。
- 7月18日、経済産業省はジャストシステムに対し、個人情報の管理体制を強化するよう要請し、新たに講じる対策の内容の報告を求めた[38]。
- 7月22日、国民生活センターは国民に対し、調査を装った詐欺に注意するよう呼びかけた[39]。
- 総務省は7月24日付で政府全省庁と独立行政法人に対して、『保有個人情報の徹底管理』を要請したことを新藤義孝総務大臣が7月25日の定例記者会見の席にて発表した[40]。
- 7月25日、経済産業省はベネッセから流出した可能性のある個人情報を購入したECCに、情報の入手先が適正かなどについて確認を徹底するよう求めた[41]。
裁判
情報を持ち出したとして不正競争防止法違反(営業秘密の複製、開示)の罪に問われたSEに対する裁判は東京地方裁判所で行われた。弁護側は流出した個人情報は営業秘密に当たらないとして無罪を主張した。2016年3月29日、判決ではベネッセ側が機密保持対策を行っていたことを理由に弁護側の主張を退け、懲役3年6ヵ月、罰金300万円の実刑判決を言い渡した。弁護側は即日控訴した。[42]
脚注
- ^ “ベネッセHD、顧客情報漏洩 最大2070万件”. 日本経済新聞
- ^ “最大2070万件の顧客情報流出=他社のダイレクトメールで発覚-ベネッセ”. 時事通信[リンク切れ]
- ^ “ベネッセHD、情報漏洩で取締役2人が辞任へ 社長の責任は否定”. 日本経済新聞
- ^ “ベネッセ情報流出で捜査開始=不正競争防止法違反容疑-被害相談受理・警視庁”. 時事通信. (2014年7月9日)[リンク切れ]
- ^ “流用はジャストシステム DMにベネッセ登録情報”. 共同通信. (2014年7月10日)
- ^ “東京の業者がジャストシステムへ名簿提供”. 共同通信. (2014年7月10日)
- ^ “ジャスト社、顧客情報DMで使用 ベネッセ漏えい問題”. 共同通信. (2014年7月10日)
- ^ “ベネッセのリスト購入したのはジャストシステム? 当事者がこの情報の真偽に触れない不思議”. J-CASTニュース. (2014年7月10日)
- ^ “転売リスト、出所不明と不安視 名簿業者「ベネッセとは知らず」”. 共同通信. (2014年7月10日)
- ^ “ジャスト社、DMで使用 ベネッセの顧客情報 名簿業者から購入”. スポニチアネックス. (2014年7月10日)
- ^ “ベネッセ情報漏えい:顧客DB再委託先から不正持ち出しか”. 毎日新聞. (2014年7月11日)[リンク切れ]
- ^ “ジャストシステム 購入した全データ削除”. NHK. (7月12日7時9分)[リンク切れ]
- ^ “別ルートの名簿業者も取引 警視庁、実態解明へ”. 琉球新報. (2014年7月12日)[リンク切れ]
- ^ “ベネッセ原田社長、ジャストシステムを批判 「一方的なデータ削除は原因究明を難しくする」”. ITmedia. (2014年7月12日)
- ^ “ベネッセ:ジャスト社対応を批判…データ削除巡り”. 毎日新聞. (2014年7月13日)[リンク切れ]
- ^ “情報流出で調査委=トップに弁護士-ベネッセ”. 時事通信. (2014年7月15日)[リンク切れ]
- ^ “流出データを10社が入手か ベネッセ漏洩、3ルートで拡散”. 日本経済新聞. (2014年7月17日)
- ^ “ベネッセ社長、報告書を提出 情報流出で経産相に”. 朝日新聞. (2014年7月17日)[リンク切れ]
- ^ “ベネッセ、情報漏洩で顧客に200億円分の補償”. 日本経済新聞 (日本経済新聞社). (2014年7月17日) 2014年7月23日閲覧。
- ^ “ベネッセ流出:39歳SE逮捕 顧客情報複製疑い 警視庁”. 毎日新聞. (2014年7月17日)[リンク切れ]
- ^ “ECC、データ使用のDM発送約2万件と発表”. 産経新聞. (2014年7月18日)[リンク切れ]
- ^ “ベネッセの情報 ECCが2万7000件余利用か”. NHK. (7月18日)[リンク切れ]
- ^ “ベネッセ情報流出、売却先の名簿業者事務所捜索”. 読売新聞. (7月18日)[リンク切れ]
- ^ “ベネッセが会見 流出情報さらに拡大も”. NHK. (7月22日)[リンク切れ]
- ^ 「鉄道博物館 2014 夏のイベント」の一部中止について (PDF) 鉄道博物館公式サイト
- ^ “ベネッセ:子どもイベント秋まで中止…個人情報収集の根幹”. 毎日新聞. (2014年7月12日)[リンク切れ]
- ^ “ベネッセ社長「鍵かけても開けられる」 顧客情報流出”. 朝日新聞. (2014年7月12日)[リンク切れ]
- ^ “ベネッセ、情報漏洩3504万件に 補償は500円の金券 情報セキュリティー企業と共同出資会社”. 日本経済新聞. (2014年9月10日)(記事のアーカイブ)
- ^ “ベネッセ情報漏えい:名簿業者を家宅捜索 不正入手認識か”. 毎日新聞. (2014年10月29日)[リンク切れ]
- ^ 株式会社ベネッセコーポレーションへの措置通知について JIPDEC
- ^ “ベネッセ:プライバシーマーク取り消し”. 毎日新聞. (2014年11月26日)
- ^ (株)ベネッセコーポレーションに対して 個人情報保護法に基づく報告徴収を要請しました (PDF) 経済産業省プレスリリース 2014年7月10日
- ^ “経産相、ベネッセ問題で業界団体に再発防止を要請 菅官房長官らも対応検討”. 産経新聞 2014年7月11日閲覧。[リンク切れ]
- ^ “個人情報保護法の改正「検討する必要がある」 菅長官”. 産経新聞 2014年7月11日閲覧。
- ^ 下村博文文部科学大臣記者会見録(平成26年7月11日) 文部科学省ホームページ
- ^ “学習塾などに情報管理の強化要請 情報流出問題で”. NHK. (2014年7月15日)[リンク切れ]
- ^ “ジャストシステム聴取へ=ベネッセ個人情報の購入めぐり-経産省”. 時事通信. (2014年7月17日)[リンク切れ]
- ^ “「情報の出所確認不十分」ジャストシステムに要請”. NHK. (2014年7月18日)[リンク切れ]
- ^ “株式会社ベネッセコーポレーションにおける個人情報漏えいに便乗した不審な勧誘にご注意ください!”. 発表情報. 国民生活センター (2014年7月22日). 2014年7月23日閲覧。
- ^ “全省庁に個人情報の管理徹底を要請 ベネッセ問題受け総務相”. 産経新聞. (2014年7月25日)[リンク切れ]
- ^ “ECCに個人情報入手先の確認徹底を要請”. NHK. (2014年7月25日)[リンク切れ]
- ^ “元SEに懲役3年6月=ベネッセ顧客情報流出—東京地裁支部”. ウォール・ストリート・ジャーナル (2016年3月29日). 2016年3月29日閲覧。