« <社会編⑲情報編集の技術> | メイン | <事件編⑰学校裏サイト&プロフといじめ> »

2014年09月01日

ベネッセからの顧客情報流出(2014/8)

 進研ゼミなどで有名な通信教育大手、ベネッセホールディングス(本社・岡山市。以下、ベネッセと表記)から子どもや保護者の顧客情報多数が不正に持ち出された。それを名簿業者に売った犯人はまもなく逮捕されたが、たった一人の不心得者のせいで膨大な被害が出るという〝ビッグデータ〟時代の危うさを示す事件である。

貸与パソコンからスマホに転送

 ベネッセは7月9日、通信講座「進研ゼミ」「こどもちゃれんじ」など26サービスの顧客の個人情報約760万件が外部に流出した、と発表した。グループ企業「シンフォーム」(岡山市)のそのまた業務委託先に派遣されたシステムエンジニア(SE、東京在住、39)が、シンフォームの東京支社で自分のIDを使ってデータベースに接続、貸与パソコンに顧客情報をダウンロードしたうえ、私有のスマートフォンに転送したことがわかった。SEは17日、警視庁に不正競争防止法違反(営業秘密の複製・開示)容疑で逮捕された。

 捜査当局の調べによると、SEは、1993年1月から2013年12月までに生まれた顧客の氏名や住所、生年月日、保護者名など2300万件以上を不正に取得、名簿業者に「イベントで集めた情報」などと偽って計250万円で売っていた。調べに対し「パチンコなどでできた借金返済や生活費で金がほしかった」と述べている。

 彼が売った名簿は転売などで名簿業者約10社に拡散したらしい。その一部はライバル社にも流れ、そこから送られてきたダイレクトメールに不信をいだいた顧客からの問い合わせで事件が発覚した。子どものデータはその後の成長に伴い、入学、卒業、就職、結婚など折々の商品勧誘に使えるので、名簿の価値は高いという。ベネッセの原田泳幸会長兼社長は記者会見で、情報が流出した顧客に対しおわびの品送付や受講料の減額、退会違約金免除などで200億円分の補償を用意していると述べた。

情報管理システムの不備

 事件の投げかけた問題を整理しておこう。

 ベネッセのグループ企業のさらに下請けに派遣されたシステムエンジニアが簡単にデータにアクセスでき、それを私用のスマートフォンにダウンロードできた点で、顧客情報管理はきわめて杜撰だったと言えるだろう。SEは昨年末から今年6月にかけて複数回のアクセスを行い、名簿業者にも何度も情報を売っていた。当該SEが大量のデータをダウンロードしたログが残されているにも関わらず、犯行が発覚するのが遅れたことにもシステム上の欠陥があった。

 膨大なコンピュータシステムを社内の一部門だけで維持管理することが現実に不可能になっていることや、クラウドコンピューティングの普及でデータの地理的制約がなくなっていることが、情報管理のバリケードを低くしている。

 しかしセキュリティの基本は人である。罪を犯そうとする人間が内部にいたら、システムは脆弱にならざるを得ない。正規社員なら大丈夫かというと、必ずしもそうではない。
2009年1月に証券大手、三菱UFJ証券(現三菱UFG証券ホールディングス)の社員(部長代理)が、ほぼ全顧客にあたる約150万人分の顧客情報を不正に持ち出し、その一部、5万人分を名簿業者に売るという事件があった。

 情報は名簿業者から100社近い業者に転売されたらしく、この場合も、投資用マンションや先物商品の購入を勧誘された顧客の問い合わせで犯行がわかっている(元社員は同年6月、窃盗と不正アクセス禁止法違反の容疑で逮捕され、東京地裁で懲役2年の実刑判決を受けた)。

情報は必ず洩れるという覚悟も必要?

 セキュリティ対策をより徹底するのはもちろんだし、万一の場合も、その被害が最小に食い止められる方策を立てておかなくてはいけない。データの管理を区分けして分散化する、アクセスする人間を限定する、私有スマートフォンや記憶媒体を作業現場に持ち込ませない、セキュリティ上の欠陥を常にチェックするなどの対策が必要である。社員や関連業者の法令順守、モラル涵養などの教育も不可欠だろう。

 名簿業者は名簿を不正に入手したものでないかぎり罰せられないようだが、「不正を知らなかった」だけでいいのかは議論のあるところである。

 セキュリティという基本に立ち返って考えれば、完全なセキュリティ対策はない。セキュリティはトレードオフが基本で、こちらを立てれば、あちらが立たない。だからセキュリティをどう考えるかは、人によって違う。一人ひとりが自分から見たリスクとその対策のトレードオフを評価するしかなく、これが正解というものを見つけることは難しい。

 情報は必ず洩れるということを念頭に生活する覚悟を改めて肝に銘じた人もいるだろう。これを機にベネッセのような大規模組織とは縁を切り、地域に密着した学習塾などに切り替える選択もあり得る。

 アメリカのセキュリティ専門家、ブルース・シュナイアーは『セキュリティはなぜやぶられたのか』(日経BP社)という本で、「セキュリティとはごく少数の腐ったリンゴに対応するためのものではあるが、このような反社会的行為をする人々を基準に社会全体の政策を決めるのは間違い」だと述べている。

 漏れやすいデジタル情報だからと言って、何もかもを厳しく規制することは社会全体を息苦しいものにしてしまう。ここで微妙なのは、技術の進歩で「一個の腐ったリンゴ」の及ぼす影響がいよいよ膨大になっていることである。盗み出される、あるいは漏洩するデータの件数は増え、その補償ということを考えると、一人ひとりへの補償は少額でも、全体としては膨大なものになる。

 セキュリティ対策が新たなリスクを生むことも考えておかなくてはならない。今回の事件を機に情報全般の管理について国レベルの対策が進むかもしれないが、そのために生じる反動にも目を配るべきである。

投稿者: Naoaki Yano | 2014年09月01日 11:31

トラックバック

このエントリーのトラックバックURL:
http://www.cyber-literacy.com/scripts/mt/mt-tb.cgi/241

Copyright © Cyber Literacy Lab.