個人情報漏えい事故調査委員会による報告書を公表、被害は約4,858万人に(ベネッセホールディングス) | ScanNetSecurity
2024.05.09(木)

個人情報漏えい事故調査委員会による報告書を公表、被害は約4,858万人に(ベネッセホールディングス)

 ベネッセホールディングスは9月25日、ベネッセコーポレーションの個人情報漏えい事故調査委員会による調査報告書を公表した。同委員会がまとめた経緯、漏えいした個人情報件数、原因、再発防止策などがまとめられている。

インシデント・事故 インシデント・情報漏えい
facebookLINE
ベネッセグループの新体制
ベネッセグループの新体制 全 3 枚 拡大写真
 ベネッセホールディングスは9月25日、ベネッセコーポレーションの個人情報漏えい事故調査委員会による調査報告書を公表した。同委員会がまとめた経緯、漏えいした個人情報件数、原因、再発防止策などがまとめられている。

 個人情報漏えい事故調査委員会は、外部の専門家を招き、情報漏えいに関する事実関係の調査分析のために7月15日に設置された機関。調査では、延べ63名の関係者に対する事情聴取を中心に、関連資料の分析・検討、現場検証などが行われた。

 今回の調査報告にて、ベネッセコーポレーションの情報漏えいに関する一連の情報がまとめられたため、調査結果の概要を紹介する。

◆調査に至る経緯

・6月27日:顧客からの問い合わせによりベネッセコーポレーションの情報が社外に漏えいしている可能性を認識、社内調査を開始。
・7月7日:ベネッセコーポレーションからの漏えい情報であることを確認、危機管理本部を設置し、顧客情報の拡散防止活動を開始。
・7月15日:警視庁に対し、個人情報漏えい事実についての刑事告訴を行う。ベネッセHDは個人情報漏えい事故調査委員会を設置。
・7月17日:警視庁は、不正競争防止法違反の容疑でシンフォームの業務委託先の元社員を逮捕。
・7月22日:個人情報漏えい事故調査委員会のメンバーが決定、調査が開始される。
・8月4日:顧客の支援を行うための組織「お客様本部」を設置。

◆漏えいした個人情報件数

 調査委員会の報告によると、名簿業者3社に売却された個人情報件数は延べ約2億1,639万件に上る。これらが漏えいした個人情報の延べ件数すべてであるという断言はできないようだが、データ内容の分析の結果、大きく上回る可能性は低いという。

 約2億1,639万件の個人情報のうち、まったく同じ内容の個人情報が複数個含まれており、これらの重複を除いた件数は約6,984万件。また、別個のデータとして存在していながらも同一人物だと認められる情報もあり、人単位では約4,858万人の個人情報が漏えいしたことが明らかになった。

◆情報漏えいの原因

 原因については、情報処理システムの問題点と、ベネッセグループの体制に関する問題点が言及されている。システムの問題点としては、個人情報を保有するサーバへのアクセス時に送信されるアラートシステムが、今回の不正行為に対しては機能しなかった点。また、データをスマートフォンに書き出す行為を制御する設定が、特定の新機種のスマートフォンに機能しなかった点が挙げられた。

 ベネッセグループの体制に関する問題点については、情報セキュリティに関するグループ全体の統括責任者が明確に定められていなかった点、統括的に管理を行う部署が存在しなかった点、個人情報管理の責任部門が不明確であった点などが指摘された。

 また、ベネッセグループの役職員の多くは、情報セキュリティに多くの予算およびリソースを投入し、従業員の教育・研修も行ってきたことから、情報セキュリティについて相当なレベルにあると認識してしまっていた可能性が高いと調査委員会は指摘。社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得ないという意識を持っていた役職員も多く、犯行を想定した万全の体制を構築できなかったとしている。

◆再発防止策

 システムに関する再発防止策としては、アラートシステムの設定、個人情報データの書出し制御設定、データへのアクセス権限の管理、アクセス・通信ログのモニタリングなどが挙げられている。

 ベネッセグループの体制については、内部不正対策の基本方針策定、組織上の責任の明確化、監視機能の組織的強化、情報セキュリティに関するグループ会社シンフォームの独立性確保、高度な専門性を持つ専門家の支援を受けながらの監査、再発防止策の実施・運用状況を確認するための第三者機関の設置などが挙げられた。

◆顧客への対応

 ベネッセHDは、顧客の不安解消・低減、漏えいした個人情報の拡散防止を目的とした「お客様本部」を8月4日に設置。電話での問い合わせ窓口を設け、各相談者の個別対応を行っているほか、個人情報の削除依頼や漏えいした個人情報の利用が疑われる事業などの対応を行っている。

 また、手紙での個別連絡および「お詫びの品」の送付も開始している。「お詫びの品」は500円分の金券(電子マネーギフトまたは全国共通図書カード)となっており、電子マネーを選択する場合はベネッセHDからの手紙に記載された登録用コードとログインキーを使って受取り手続きを行う必要がある。対応している電子マネーは、「楽天Edy」、「Amazonギフト券」、「nanaco」の3種類。受取り手続きの期限は2014年12月15日となっているため、注意が必要だ。

ベネッセが情報漏えいに関する報告書を公表、約4,858万人に被害

《湯浅大資@リセマム》

関連記事

この記事の写真

/

関連リンク

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  9. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  10. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

ランキングをもっと見る
ホーム インシデント・事故 インシデント・情報漏えい 記事
TOP