個人情報漏えい事故調査委員会による報告書を公表、被害は約4,858万人に(ベネッセホールディングス) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

個人情報漏えい事故調査委員会による報告書を公表、被害は約4,858万人に(ベネッセホールディングス)

インシデント・事故 インシデント・情報漏えい

 ベネッセホールディングスは9月25日、ベネッセコーポレーションの個人情報漏えい事故調査委員会による調査報告書を公表した。同委員会がまとめた経緯、漏えいした個人情報件数、原因、再発防止策などがまとめられている。

 個人情報漏えい事故調査委員会は、外部の専門家を招き、情報漏えいに関する事実関係の調査分析のために7月15日に設置された機関。調査では、延べ63名の関係者に対する事情聴取を中心に、関連資料の分析・検討、現場検証などが行われた。

 今回の調査報告にて、ベネッセコーポレーションの情報漏えいに関する一連の情報がまとめられたため、調査結果の概要を紹介する。

◆調査に至る経緯

・6月27日:顧客からの問い合わせによりベネッセコーポレーションの情報が社外に漏えいしている可能性を認識、社内調査を開始。
・7月7日:ベネッセコーポレーションからの漏えい情報であることを確認、危機管理本部を設置し、顧客情報の拡散防止活動を開始。
・7月15日:警視庁に対し、個人情報漏えい事実についての刑事告訴を行う。ベネッセHDは個人情報漏えい事故調査委員会を設置。
・7月17日:警視庁は、不正競争防止法違反の容疑でシンフォームの業務委託先の元社員を逮捕。
・7月22日:個人情報漏えい事故調査委員会のメンバーが決定、調査が開始される。
・8月4日:顧客の支援を行うための組織「お客様本部」を設置。

◆漏えいした個人情報件数

 調査委員会の報告によると、名簿業者3社に売却された個人情報件数は延べ約2億1,639万件に上る。これらが漏えいした個人情報の延べ件数すべてであるという断言はできないようだが、データ内容の分析の結果、大きく上回る可能性は低いという。

 約2億1,639万件の個人情報のうち、まったく同じ内容の個人情報が複数個含まれており、これらの重複を除いた件数は約6,984万件。また、別個のデータとして存在していながらも同一人物だと認められる情報もあり、人単位では約4,858万人の個人情報が漏えいしたことが明らかになった。

◆情報漏えいの原因

 原因については、情報処理システムの問題点と、ベネッセグループの体制に関する問題点が言及されている。システムの問題点としては、個人情報を保有するサーバへのアクセス時に送信されるアラートシステムが、今回の不正行為に対しては機能しなかった点。また、データをスマートフォンに書き出す行為を制御する設定が、特定の新機種のスマートフォンに機能しなかった点が挙げられた。

 ベネッセグループの体制に関する問題点については、情報セキュリティに関するグループ全体の統括責任者が明確に定められていなかった点、統括的に管理を行う部署が存在しなかった点、個人情報管理の責任部門が不明確であった点などが指摘された。

 また、ベネッセグループの役職員の多くは、情報セキュリティに多くの予算およびリソースを投入し、従業員の教育・研修も行ってきたことから、情報セキュリティについて相当なレベルにあると認識してしまっていた可能性が高いと調査委員会は指摘。社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得ないという意識を持っていた役職員も多く、犯行を想定した万全の体制を構築できなかったとしている。

◆再発防止策

 システムに関する再発防止策としては、アラートシステムの設定、個人情報データの書出し制御設定、データへのアクセス権限の管理、アクセス・通信ログのモニタリングなどが挙げられている。

 ベネッセグループの体制については、内部不正対策の基本方針策定、組織上の責任の明確化、監視機能の組織的強化、情報セキュリティに関するグループ会社シンフォームの独立性確保、高度な専門性を持つ専門家の支援を受けながらの監査、再発防止策の実施・運用状況を確認するための第三者機関の設置などが挙げられた。

◆顧客への対応

 ベネッセHDは、顧客の不安解消・低減、漏えいした個人情報の拡散防止を目的とした「お客様本部」を8月4日に設置。電話での問い合わせ窓口を設け、各相談者の個別対応を行っているほか、個人情報の削除依頼や漏えいした個人情報の利用が疑われる事業などの対応を行っている。

 また、手紙での個別連絡および「お詫びの品」の送付も開始している。「お詫びの品」は500円分の金券(電子マネーギフトまたは全国共通図書カード)となっており、電子マネーを選択する場合はベネッセHDからの手紙に記載された登録用コードとログインキーを使って受取り手続きを行う必要がある。対応している電子マネーは、「楽天Edy」、「Amazonギフト券」、「nanaco」の3種類。受取り手続きの期限は2014年12月15日となっているため、注意が必要だ。

ベネッセが情報漏えいに関する報告書を公表、約4,858万人に被害

《湯浅大資@リセマム》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. 外部からのアクセスでバスツアーサイトツアーの個人情報1万1975人分が流出(H.I.S.)

    外部からのアクセスでバスツアーサイトツアーの個人情報1万1975人分が流出(H.I.S.)

  2. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

    「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  3. 指定暴力団幹部がオークションで海賊版ソフトを販売したとして逮捕(ACCS)

    指定暴力団幹部がオークションで海賊版ソフトを販売したとして逮捕(ACCS)

  4. 「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)

  5. 小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)

  6. ビジネスソフトの海賊版販売で有罪判決、罰金など合計約4,700万円(ACCS)

  7. 「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

  8. SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)

  9. 「自炊代行業」の男性を逮捕、書籍の転売やデータの使い回しなども判明(ACCS)

  10. JINS オンラインショップに不正アクセス、118万件の個人情報が流出の可能性(ジェイアイエヌ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×