Home > 特集企画 > ベネッセ 個人情報大量流出、法改正で漏えい対策強化へ

ベネッセ 個人情報大量流出、法改正で漏えい対策強化へ

012.jpg ベネッセホールディングス(以下ベネッセ)は7月9日、760万件の個人情報が流出したと発表した。子どもの情報が大規模で流出したことを受けて、経済産業省がベネッセに報告を要請。菅義偉官房長官が個人情報保護法の改正に言及するなど事態は深刻化している。顧客データベースが最大の資産ともいえる通販にとって、どの企業にも「個人情報の流出」のリスクはつきまとう。ベネッセの情報流出事件を他山の石として、各社はデータベース運用に伴う社内ルールの再点検が必要になりそうだ。


流出情報はほぼ「未成年」

011.jpg ベネッセによると、個人情報が漏えいしたのは、「こどもちゃれんじ」や「進研ゼミ」など通信教育サービス27商品を利用する顧客情報760万件。「郵便番号」や「住所」、「保護者氏名」のほかに、「子どもの名前」や「子どもの生年月日・性別」が含まれていた。流出した情報のほとんどが未成年のもので、一部に未就学児の情報も含む。ベネッセでは、顧客情報の管理をグループの関連会社、シンフォームに委託。顧客情報は、そこから再委託された会社の派遣社員によって持ち出されたものとみられている。

 流出を判断したのは6月26日。「6月に入り、顧客の元に特定の事業者からのDMが届き、個人情報流出の可能性を指摘する問い合わせが45件あったことから異常事態と判断した」(ベネッセ)とする。一般紙各紙の報道から、この事業者は通信教育を行うジャストシステムであることが分かっている。

 これを受けて同月28日に緊急対策本部を設置。外部の調査会社を起用して調査を始めた。調査会社は名簿屋からベネッセの顧客情報を含む882万件の名簿を入手。自社のデータベースと照合した結果、ベネッセだけが保有する個人情報が含まれていることが分かった。

新規客獲得自粛も方針は変えず

 7月9日の発表以降、同社では100回線以上の電話回線を用意し、顧客の問い合わせに対応。12日まで約5万4000件の問い合わせが寄せられており、「流出した個人情報に含まれているか」、「流出した項目」に関する問い合わせが多かったという。中には通信講座の解約を依頼する電話もあったようだ。

 事態の深刻化を受けてベネッセでは新規客獲得を自粛。テレビやラジオなどマス媒体を活用したCMの放映や、DM発送の中止を決定した。加えて、7月12~13日に予定していた14件のイベントも取り止めた。

 DMによる新規客獲得策はベネッセにとって重要な施策の1つ。特に、夏休み前は、新規客獲得のボリュームゾーンである進級・進学前に次ぐ重要なタイミングでもある。新規客獲得の再開時期は未定で、「社会的責任の結論が出るまでは自粛する」(同)としており、業績にも大きな影響を与えることになりそうだ。

 なお、7月2日に開催した経営方針説明会で原田会長兼社長は、DMの内容を刷新してブランドを強化する方針を説明。顧客満足度を高め、利用期間の長期化を図るとしていた。

 この点、「個人情報の流出でブランドへのダメージは計り知れないが、お客様に真摯に対応する。短期的なブランドインパクトはあるが、必ず今まで以上に企業としての信頼を得ることに力を入れていく」(原田会長兼社長)として流出発表後も、経営方針は変更しない考え。教育コンサルなどを行う店舗「エリアベネッセ」の展開や、デジタルコンテンツの提供による個別対応の推進も当初の計画通り進めていく。

ジャスト社、文献社を信用

 一方、ベネッセから流出した顧客情報を流用の可能性を指摘されているジャストシステムだが、同社は名簿事業者である文献社に、通信教育のターゲットである小学校1年生から中学校3年生に対するマーケティング支援の提案を依頼。文献社からイベントやキャンペーンに並ぶ施策の一つとして顧客リスト活用の提案があったという。

 今年5月、名簿事業者の文献社から257万件の顧客名簿を取得。これをもとに、6月から、新規客獲得のDMの発送を行っていた。

 ジャストシステムにとって文献社との取引は2回目。1年程前にも1度、文献社から出所が明らかな名簿を購入した実績があったこと、文献社がホームページで公正な取引で得た名簿を扱っていると記載していたことなどから「出所不明な顧客名簿にも関わらず、信用してしまった。管理体制が不十分だった」(ジャストシステム)とする。ただ、不正流出した名簿との認識には「ベネッセから流出した情報と認識し利用した事実は一切ない」(同)とする。今後、警察からの捜査協力依頼や経済産業省からの報告要請に積極的に対応していくとしている。

 すでに、ベネッセから流出した可能性のある257万件の顧客情報の利用は停止。直近で開催を予定していたイベント「体験会」も中止している。ただ、「ベネッセと当社の顧客データベースを照合したわけでなく、ベネッセが流出した情報を当社が利用したかどうかは明らかになっていない。新規客獲得の自粛は非を認めたことになる」(同)としており、新規客の獲得施策も状況を見つつ継続していく考え。今のところ、DMを使った販促施策を近く展開する予定はないが、「(今回の事態を受けたものではなく)当初から行う予定はなかった」(同)としている。

経産省など報告求める

 ベネッセは再発防止策として、同月15日「個人情報漏えい事故調査委員会」(委員長=小林英明弁護士)を発足。外部専門家による客観的な視点で情報漏えいの原因の解明を急ぐ。今後1カ月をめどに改善策も提示。事件の収束を受けて、個人情報が漏えいの外部への持ち出しがあった当時、関係する部署の責任者だった福島保副会長と、前ベネッセコーポレーション社長で同社担当役員の明田英治氏の2人は引責責辞任する。

 今回の事態を受けて、菅義偉内閣官房長官は7月11日の会見で、ベネッセの顧客情報流出に「子ども含む情報流出は遺憾。情報流出の被害を受けた個人が申し立てれば個人情報は消去できるが、全てを消去はできない」と、現行の個人情報保護法の不備を指摘。政府では、来年の通常国会に提出する予定の個人情報保護法改正案に、個人情報の漏えい対策の強化に関する項目を盛り込んでいく考えを示している。

 経済産業省もこれに先立つ同10日、ベネッセに報告徴収を要請し、安全管理や再発防止策の報告を求めている。加えて、同15日には、日本通信販売協会、全国の学習塾協会、学習塾協同組合に、会員企業への個人情報の管理の徹底を要望。日本通信販売協会はベネッセから報告を受けて対応を検討していく。

 プライバシーマーク(Pマーク)制度を運用する日本情報経済社会推進協会(事務局・東京都港区、牧野力会長)は、同協会のPマーク付与事業者であるベネッセによる情報漏えいが発覚したことを受け、ベネッセに報告を求めて厳正に対応していく考え。「(Pマークの運用や審査に関わる)なんらかの指針を出す可能性も検討したい」(同)とする。

個人情報の取り扱いの見直しを

 過去に例を見ない規模の今回の個人情報の漏えい。ベネッセは被害者であることは間違いないが、今回の件で消費者からの同社への信頼は大きく揺らぐことになり中長期的に業績への悪影響が出そう。過去の事例から判断する限り状況によっては今後、訴訟に発展する可能性もあり、場合によっては巨額の損害賠償を負担せざるを得ない状況に陥るかも知れない。

 7月17日には、業務委託先の元社員が不正競争防止法違反で警察に逮捕されたことを受けて再度、会見を開き改めて謝罪。「ベネッセは被害者か加害者か」との会見での質問に「お客様にこれだけ迷惑をかけた。加害者だと思う」と話し、金銭的な補償を行わないとした9日の会見から一転、200億円の原資を準備して、顧客に補償していく方針を明らかにした。

 補償の内容は、受講費の減額などを検討。加えて、顧客対応する専門組織「お客様本部」を発足。顧客からの申し出を受け、不正流出した顧客情報の入手ルートなどの説明を行っていく。

 経営上、非常にリスクの高い個人情報の漏えい。他の通販企業も早急に管理体制の再整備を行うべきだろう。

「760万件」で事態深刻化、個人情報流出に対する反応は?

 「悪意を持った人間にシステム上、対抗できないのか」。会見に出席した記者からの質問に対し、原田会長兼社長は「IT業界を長年経験し、システムをある程度は理解しているつもり。だが100%セーフティというのは技術的にありえない。コンプライアンスは最終的にモラルや道徳、倫理感の問題だ」と回答した。

 これに同調する事業者の声も多い。

 ある通販商品ベンダーの幹部は、「悪意を持った人間の内部犯行を防ぐことは難しいのではないか」と話す。取引先の通販企業との専用回線を敷き、商品ベンダーを通じてメーカーから通販企業の顧客に直送することがあるようだが、入退室を管理する専用の部屋を用意して、データベースへの書き込みや持ち出しのログは残る仕組みであっても、「アクセス権限を与えられた人間が意図を持って何かやろうと思えば可能」と指摘する。

 ウェブサイト運営会社でも、委託先がシステムベンダーに実務を再委託するケースはよくあるという。ただ、委託先は再委託先との間に入っているだけで実務をあまり理解していないことがあるようだ。

 「外部の人間が関わったことで、リスクが高まった可能性がある」と指摘する事業者もいる。内部の人間による持ち出しで個人情報が流出した事件は珍しくない。企業規模が大きくなり関わる人間が増えた分、それだけコンプライアンス意識を徹底させることが難しくなるためだ。「定期的な講習でコンプライアンス意識の徹底を図ることが重要」という。

 また、プライバシーマーク制度を運営する日本情報経済社会推進協会は「再委託先への監督は社内ルールで規定していると思う。ただ、社内ルールは実効性が求められるものでなければならない」と話す。

                              ◇

 個人情報保護法では個人情報を持つ企業が管理を委託する場合、委託先に対する監督を義務付けており、ガイドラインの中で、委託元は再委託先を把握し、適切な指導を行う必要があることが盛り込まれている。個人情報の取り扱いを巡り、組織内で起こる内部不正を防止するガイドラインを策定し、運用の推進を図る情報処理推進機構(所在地・東京都文京区、藤江一正理事長)といった行政関連組織もある。

 ただ、個人情報の取り扱いは様々な指針が出ているものの、セキュリティ対策の実態は企業の規模などでばらつきがある。「業務委託先の権限を狭めマネジメントクラス以上に限定するなどし、再委託先が安易に触れないような契約を交わすよう注意する必要がありそう」(前出のウェブサイト運営会社役員)とした。

 今回のベネッセによる個人情報流出は一般紙で連日取り上げられ、消費者の間では個人情報に対する意識が高まっている。顧客データベースを活用して販促を行う以上、通販各社は個人情報の安全管理をこれまで以上に徹底しておく必要がある。




Trackbacks:0

TrackBack URL for this entry
http://www.tsuhanshinbun.com/mtos-admin/mt-tb.cgi/2605
Listed below are links to weblogs that reference
ベネッセ 個人情報大量流出、法改正で漏えい対策強化へ from 通販新聞

Home > 特集企画 > ベネッセ 個人情報大量流出、法改正で漏えい対策強化へ

Amazon出品サービス
Search
Feeds

△ ページtopへ