【連載】なぜ、企業は不祥事を繰り返すのか? ③ベネッセの顧客情報漏えい事件

事件の概要


 2014年6月、顧客からの問い合わせによって、ベネッセコーポレーションが管理する顧客情報が社外に漏えいした疑いが浮上した。社内調査の結果、データベースから情報が不正に持ち出されていた事実が判明し、システムエンジニアの甲が不正競争防止法違反(営業秘密複製)容疑で逮捕・起訴された。

 流出した顧客情報の延べ件数は2億1,639万件だが、同一人物の情報が複数回計上されているため、名寄せ作業を実施した結果、3,504万件(4,858万人分)と推定された。この事件を受けて、ベネッセHDでは取締役2人が引責辞職するとともに、事件処理に関連して260億円の特別損失を計上した。

 ベネッセコーポレーションでは、システムの開発・運用をグループ企業のシンフォームに任せていた。シンフォームでは同業務の一部を他の企業に委託し、委託先企業はさらに別の企業に再委託しており、甲は再委託先企業の社員であった。

 2013年7月、甲は、業務用PCに私物のスマートフォンを充電する目的で接続したところ、データをスマートフォンにコピーできることに気が付いた。そこで、データベース内の顧客情報を業務用PC内にコピーした上で、USBケーブルを通じて情報をスマートフォンに転送した。甲は、月1~2回の頻度で顧客情報を持ち出し、名簿業者3社に約250万円(合計額)で売却していた。

機能しない「書出し制御システム」


 シンフォームでは、入館許可証を発行して執務室の入退管理を実施、業務用PCによる外部サービスへの接続の禁止、ネットワークの使用状況についてログを保存などの対策を講じていた。その一方で、以下に示すように6件の情報セキュリティ上の問題点が存在した。

(第1の問題点)
 シンフォームでは、業務用PC内のデータを外部記録媒体に書き出せないようにするための「書出し制御システム」を整備していた。しかし、Androidを搭載するスマートフォンでは、2011年発表のバージョン4.0からファイル転送規格がMTPに変更されていたため、「書出し制御システム」が機能しない状態となっていた。
(第2の問題点)
 シンフォームの社内規定では、重要情報を取扱う執務室内に私物PCを持ち込むことを禁止していたが、スマートフォンについては制限していなかった。実務的にも、執務室への入退に当たって、所持品の確認などの持込み防止対策は取られていなかった。
(第3の問題点)
 甲は、事業部門からの依頼に基づきマーケティング用に顧客情報を分析していたため、データベースに対するアクセス権を有していた。本来であれば、情報を重要度に則して区分し、その区分に応じて情報へのアクセス権を制限すべきであるが、ベネッセではアクセス範囲が未区分だったため、甲は情報全体にアクセスすることが可能だった。