ベネッセ流出 逮捕を情報管理徹底の契機に

毎日新聞 2014年07月19日

ベネッセ流出逮捕 お粗末すぎた管理体制

通信教育大手ベネッセホールディングスの顧客情報流出事件で、警視庁は顧客データベース(DB)の保守管理をしていた外部業者のシステムエンジニア(SE)を、不正競争防止法違反(営業秘密の複製)容疑で逮捕した。

SEは昨年7月から先月まで繰り返し顧客情報をダウンロードし、名簿業者に約15回にわたり売却していた。これに1年間も気付かず、流出を拡大させたベネッセの情報管理体制はあまりにお粗末だ。

SEはベテランで、システムの不具合を確かめるため、DBの全顧客情報に接続する権限があった。DBを管理する部屋は一般社員の入室が禁止され、業務用に貸与されたパソコンも、USBメモリーなど記憶媒体を接続するとエラーになる機能があったという。

しかし、SEが自分のスマートフォンを充電しようとパソコンにつなげた際、情報を移せることに気付いた。部屋に私物を持ち込めたのは管理に穴があったとしか言いようがない。DBへの接続記録を定期的に監視する防護策もなかった。こうした対策にかかるお金は、ベネッセが被害者への補償で用意した200億円よりずっと少なくてすんだはずだ。

消費者庁によると、2012年度に事業者が個人情報の流出を公表した事案は319件ある。自社か業務委託先の従業員が関わったのはこのうち8割にのぼる。大半は不注意が原因だが、意図的な流出も9件あった。顧客情報を扱う企業は、「身内」の不正の可能性も排除せず、相応の経費をかけて対策を万全にする責任があることを改めて認識すべきだ。

顧客情報は名簿業者間で転売され外部にも売られていた。個人情報保護法は、本人の同意のない個人情報の提供を原則禁止している。しかし例外があり、「本人からの求めがあれば、提供停止や削除ができます」と業者がウェブサイトなどに掲示すれば、違法性は問われない。転売を重ね、「正当に手に入れた」と言えば、情報の削除も強制されない。

こうした抜け道により、不正に流出した情報の拡散を防げないのは問題だ。いったん流出すると、削除を求める相手を探すことも難しくなる。電話番号や生年月日が含まれた個人情報は、詐欺などに悪用されかねない。

個人情報を販売する際に第三者機関への届け出を求める枠組みが政府内で検討されている。内閣府の消費者委員会は、個人情報リストを保有する業者の責任の明確化や、不正な手段により流出した個人情報の削除といった対策も必要だと提言し、「名簿業者に対する規制を検討すべきだ」とする意見書をまとめた。議論を進める時だ。

読売新聞 2014年07月18日

ベネッセ流出 逮捕を情報管理徹底の契機に

子どもの個人情報が大量に流出した問題が、刑事事件に発展した。

ベネッセコーポレーションの顧客情報を持ち出したとして、警視庁は、顧客データベース(DB)の管理を担当していたシステムエンジニアの男を不正競争防止法違反(営業秘密複製)容疑で逮捕した。

男は、ベネッセから与えられたDB接続用IDを悪用していた。DBの保守管理担当の中で指導者的立場にもあった。

顧客情報の買い取りを何度も名簿業者に持ちかけ、計250万円を得たと供述している。ギャンブルや生活費で数十万円の借金を抱えていたという。

職務上の立場を利用した、極めて悪質な犯行である。

不正競争防止法は、顧客名簿など「秘密として管理された有用情報で、公然とは知られていないもの」を「営業秘密」と定義し、不正な複製や開示を禁じている。

2009年の改正で、個人が不正に利益を得る目的で漏洩した際にも適用されるようになった。警視庁は、男の行為が営業秘密の不正な複製に当たると判断した。

問題発覚後、「子どもの個人情報が悪用されるのでは」といった不安が広がっている。警視庁が逮捕に踏み切ったのは、事態の深刻さを重視した結果だろう。

同様の事件が繰り返されないよう、一罰百戒の意味合いもあるのではないか。

犯行を許したベネッセの管理責任も重大である。

漏洩された情報は、すでに名簿業者間で転売され、少なくとも十数社に流れたとみられる。

不正競争防止法は、営業秘密に関し、不正な利益を得る目的で買い受けることを禁じている。

問題なのは、名簿業者が不正に入手された情報であることを知らなければ、罪に問われない点だ。今回の事件でも、男から顧客情報を買い取った業者は、「不正に持ち出された情報とは知らなかった」と弁明しているという。

名簿業者に関しては、所管官庁が明確でなく、数さえ把握されていないのが実情だ。

個人情報保護法の規定も実効性に乏しい。5000人超の個人情報を扱う業者が、本人の同意なしに第三者へ提供することを禁じているが、名簿の表題などを店頭やホームページで公表すれば、同意を得なくても販売できる。

事件を受け、名簿業者の規制強化を求める声が高まっている。政府は、不正に流出した個人情報の拡散防止策を検討すべきだ。

産経新聞 2014年07月19日

ベネッセ事件 不安払拭の契機としたい

見知らぬ会社から名指しの電話でマンションなどの購入を持ちかけられたことがある。なぜ姓名や連絡先を知っているのか問いただしても納得のいく返答はない。

不愉快な記憶だが、通信教育大手「ベネッセコーポレーション」の顧客情報流出事件で内幕の一端がみえた。これを社会不安払拭の契機としたい。

警視庁は、1千万件を超える顧客情報を売却目的で持ち出したとして、不正競争防止法違反(営業秘密の複製)の疑いで、顧客データベースの保守・管理を業務委託されていたシステムエンジニアの男を逮捕した。

情報を流出させたベネッセは顧客に対し、総額200億円の補償をすると発表した。情報を盗んだ男が悪いのは当然だが、犯行を許したベネッセも重大な管理責任を逃れることはできない。顧客からの苦情が殺到し、退会の申し出が相次いでいるのも当然だろう。

一方で、情報の売買に連なった名簿業者の多くや実際に名簿を営業活動に使用した社に刑事罰や行政処分を科すことは難しそうだ。不正入手の認識を否定されれば、これを覆すことは困難だ。

複数の名簿業者は警視庁の任意の聴取に「ベネッセから流出したものとは知らなかった」と話している。名簿業者から情報を購入し、自社の通信教育入会への勧誘に使用していたIT事業者「ジャストシステム」も「違法に入手されたデータとの認識はなかった」と強調している。

問題発覚直後、ベネッセホールディングスの原田泳幸(えいこう)会長兼社長はジャストシステムを「経営者のモラルが問われる」と非難した。他社を攻撃してベネッセの責任が軽減されるわけではない。

だが、ジャストシステムも、この問いに真摯(しんし)に答えてほしい。

いつ、何万件の情報を、どのようなやりとりで、いくらで買ったのか。すべてを明らかにしたうえで、公明正大な取引であったかの判断を顧客に求めるべきだ。

流出した情報がどのように使用されたか。入り口から出口まで経緯のすべてを明らかにすることこそ再発防止に寄与する。刑事罰と社会的責任とは別である。

新たに英会話学校大手「ECC」もベネッセのものとみられる情報を勧誘に使用していたことが明らかになった。同社にも同様の説明責任を求めたい。

この記事へのコメントはありません。

この社説へのコメントをどうぞ。
お名前
URL
コメント

この記事へのトラックバックはありません。

トラックバックはこちら
http://shasetsu.ps.land.to/trackback.cgi/event/1887/