ベネッセコーポレーションの顧客情報が流出 157
ストーリー by hylom
今後色々なところで使われる可能性 部門より
今後色々なところで使われる可能性 部門より
あるAnonymous Coward 曰く、
ベネッセコーポレーションの顧客情報が流出、約760万件が確認され、最大で2070万件に上る可能性があるという(ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び、プレスリリース PDF)。
今回の流出に関し不正アクセスは確認されておらず、データベースへのアクセス権限を持った内部者による情報漏洩と推測している模様。内部者による故意の情報漏洩を完全に防ぐことは困難だが、アクセス権限が適切に設定されていたか(不必要な情報にまでアクセスできるようになっていなかったか)といった点が気になるところだ。
また、この流出した顧客情報をジャストシステムが購入してダイレクトメールの送信に使っていたことも明らかになっている(毎日新聞)。ジャストシステム側は福生市の名簿業者から顧客情報を購入したといい、またその名簿業者は武蔵野市の別の業者から(ベネッセの顧客情報とは知らずに)名簿を購入したという。
ジャストシステムに電話で聞いてみました (スコア:5, 参考になる)
ジャストシステムに電話で本件について聞いてみました。
以下のように説明をいただきました。
Q1 ベネッセの顧客情報を使ってスマイルゼミのダイレクトメールを送ってきたのではないか。
A1 ジャストシステムはベネッセとは別会社であり、ベネッセから情報を得てスマイルゼミのダイレクトメールを送ったのではない。
Q2 ダイレクトメールを送ったことについて、なにか対応を行うことはあるのか。
A2 ダイレクトメールの情報はデータベース事業者から適正に入手したものである。
個人情報の保護に関する法律第17条では「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」となっており、これについて質問したわけではないのですが、ジャストシステムの回答はこの条文に対応する説明になっていると思いました。
Re:ジャストシステムに電話で聞いてみました (スコア:1)
この言葉が心に響く。
> 安易なリストの入手は、クライアントの信用やイメージを失墜しかねない多大なリスクを負うことになります。
http://www.bunken-sha.com/privacy/index.html [bunken-sha.com]
Re:ジャストシステムに電話で聞いてみました (スコア:1)
Q2の質問の趣旨としては、ジャストシステムとして今後どのような対応を行うのかを教えてもらいたかったということにあります。
私が考えていた質問には他に「今回の件で問い合わせがあったらどう応えることにしているのか、対応マニュアルを一字一句正確に読め」というものも考えていましたが、さすがに愚問過ぎてやめました:-)
もっといい質問の仕方があったら教えて下さい。
Re:ジャストシステムに電話で聞いてみました (スコア:1)
A3 文献社 [bunken-sha.com]から入手しました。
これは質問した時点で判明していたので、多分質問しなかったと思います。
また、経験則からいって、情報の経路を辿っていっても、どん詰まりにぶつかります。
今なら、
Q3 ジャストシステムにも多くの問い合わせがあるようだが、ベネッセと同様(多く寄せられているご質問 [benesse.co.jp])にFAQを公表する予定はないのか。
という質問になるかな。
ジャストシステムに電話したら結構待たされて、終わるまでに15分(13:25-13:40)かかりました。
ベネッセでは34分(13:52-14:27)かかりました。
そこから、ベネッセほどではないにせよ、ジャストシステムにも多くの問い合わせの電話がかかってきているのではないかと思いました。
Re:ジャストシステムに電話で聞いてみました (スコア:1)
1.「ベネッセのみに登録していた個人情報でDMが来た」と顧客がベネッセに苦情を入れたから発覚
※ジャストシステムは気が付きようがない
2.ベネッセがリストを入手の上、ベネッセが保有しているデータとマッチングさせた結果、
ベネッセしか保有していないデータが含まれており、かつ名簿の大半の情報が
ベネッセデータと一致したことから、ベネッセが保有するデータが漏えいした可能性が
極めて高いと判断
※ジャストシステムは気が付きようがない
3.データベースが正規のものであるか
※ジャストシステムは調べようがない
Re:ジャストシステムに電話で聞いてみました (スコア:3)
「住所表記がベネッセにしか登録していない表記でジャストシステムのDMが来た」
「名前表記が本来ひらがななのをベネッセ登録時にのみカタカナ表記にしていたのにカタカナでジャストシステムのDMが来た」
あとは名前表記でベネッセのみ異字体だったのに、とかだそうです。
#でも、登録時に名前の表記変えるのはよろしくないのではという気がするのですが・・・。
Re:ジャストシステムに電話で聞いてみました (スコア:3, 参考になる)
しっかりと条文を読めば、ジャストシステムの回答は言い逃れに過ぎず、明らかな義務の不履行という不法行為については言及していないことに気付くはずです。
件の社に電話をかけるくらいされるのなら、せめてその前後の条文くらいは読み、理解した上でやってください。
でないとあちら側の人間が、自作自演でフォローしようとしているように誤解される恐れがあります。
法律や条例、というのはまず目的が明記され、その為にすべき事すべきで無い事、運用上の手法や義務と禁止事項、義務を怠った場合や禁止事項を犯した場合の対処や罰則、といったことが必ず書かれています。
一方の当事者のみが楽に利益を享受出来るような条文というのは見たことがありません。
その辺りを念頭に置いて読まないと、正しく事態を把握出来ませんから注意が必要です。
しっかり条文を読んでから物を言え、というご意見、諸手を挙げて大賛成です。
個人情報保護法第18条1項には個人情報取扱事業者が個人情報を取得した場合「その利用目的を、本人に通知し、又は公表しなければならない」とあり、ここでいう「公表」とは店舗掲示・Webサイト掲載・チラシ等書面への記載が該当します。
同法2項の本人からの直接取得における許諾とごっちゃにする人が多くて結構困る箇所ですね。
さて、ジャストシステムはWebサイトのプライバシーポリシーに「個人情報の利用目的について」2のviに、市販の名簿をDM送付に使用します、と記載した上で対応窓口の記載もありますので、個人情報の間接取得における法的義務と心得を満たしておりますが、貴方は何か勘違いされてませんかね?
私は今回の件で、個人情報保護法の俺様解釈による明後日の方向を向いた誹謗・中傷の排斥に繋がれば良いな、と思っております。
Re:ジャストシステムに電話で聞いてみました (スコア:1)
お、おう。
就任早々 (スコア:3)
今のベネッセの社長って、アップルの日本法人やマクドナルドを経て、ついこの前就任したばかりの原田泳幸氏じゃなかったけか。
こりゃまた本人も「なんじゃこりゃー」なんだろうな。
#三菱自動車のリコール隠しの時のダイムラーから来た社長を思い出しちまったい
Re:就任早々 (スコア:1)
むしろ、そいつが疫病神とも言える。
Re:就任早々 (スコア:2)
というか、以前の経営陣が隠蔽もみ消ししていたというだけでは?
# 新社長就任から数日で「問い合わせが急増」って、ねえ
Re:就任早々 (スコア:2)
仮に2000万人に500円ずつ配布すると100億ですからね。
ベネッセの子会社(=シンフォーム)に派遣されている人その1 (スコア:2, すばらしい洞察)
「グループ社員以外のアクセス権限を持った内部者」というのがよくわからない。
どうやって、グループ社員は犯人では無いと特定できたのだろうか?
問題のデータへのアクセス権限の管理方法はわからないが、
グループ社員が、派遣に成りすましてデータを抜き出すことは可能な気がする。
それとも、犯人が絞られているということか?
または、最初から派遣と疑っているのだろうか?
中にいても何もフォローがないのが、一番つらい。
Re:ベネッセの子会社(=シンフォーム)に派遣されている人その1 (スコア:1)
> 実務はぜんぶ協力会社が手を動かしてたんじゃ、と思ったりはしました。
何を言っているんですか。
SYNのプロパーには、日々新しい可能性を試す指示を協力会社に提供して、協力会社が一日24時間、一年365日、力一杯働ける様にするという大切な使命があるんです。
実務に何もコミットしないなんて、不見識も甚だしい。
# 絶対にAC
どこが一番スライディング土下座すべきか (スコア:1)
今のところベネッセ→ジャストシステム→文献社と流れていますが、
この問題はどう収拾するんですかねぇ
#Twitterは「この問題、進研ゼミでやった」派生ネタが大杉です。
Re:どこが一番スライディング土下座すべきか (スコア:1)
これはどこから? ベネッセ→?→文献社→ジャストシステム、だと思ってましたが (福生市の名簿業者=文献社 [tokyo-np.co.jp])。
直接盗んだりしたわけでもないのでジャストスシテムにせよ文献社にせよ、文句言われる筋あいは、少なくとも現時点ではないのではないかと。
Re:どこが一番スライディング土下座すべきか (スコア:1)
商業的な部分で言えば,文献社の売りとして,
> 100%自社開発リストで、毎年定期更新。
> 当社のリストの元になっている非公開情報は「住民基本台帳」の記録です。
> 2006年(平成18年)10月までは、一定の条件の元で閲覧ができました。
とうたっているので,他者から買ったという言い訳は(顧客から)文句出そうですね。
また,クレームサービスとして
> 発送先から「どこで情報を入手したのか?」と心配なさる声を聞くことがあります。
> 当社の情報は、不正な入手は一切しておりません。
> しかし、そうしたクレーム等への対応も当社がいたします。
ということで,文献社として一応クレームは一手に引き受けるんでしょうね。
Re:どこが一番スライディング土下座すべきか (スコア:1)
データの流れで言えば、
ベネッセ→(?→)パン・ワールド→文献社→ジャストシステム [sponichi.co.jp]
このパン・ワールドは逮捕歴のある代表取締役 [blogspot.jp]のようで、かなり黒い。
Re:どこが一番スライディング土下座すべきか (スコア:1)
> どうしてベネッセのデータだってわかったのかな?
ニュースリリースより
というわけで、最初の非難先はベネッセですよ。その後で、「他社とはどこか?→ジャストシステムだー」となったわけです。
ていうか、ベネッセからの漏洩が疑われるまでは、ジャストシステムからのダイレクトメールも、「あー、なんかダイレクトメールが来てるなぁ」で終わりでしょう。
Re:どこが一番スライディング土下座すべきか (スコア:1)
みかかデータ [nttdata.com][PDF]は?
Re:どこが一番スライディング土下座すべきか (スコア:1)
> ベネッセのデータ管理に不備があっての流出ならベネッセとNTTデータが悪いんでしょうね。
いやー、シンフォームからじゃないかなあ。それもシンフォームの協力会社の社員。典型的な多重請負でベネッセグループのシステムを管理してるって話だしねえ。
# これはACしかないわなあ。
Re:どこが一番スライディング土下座すべきか (スコア:1)
7/9にベネッセから出されたプレスリリース(注:PDF) [benesse-hd.co.jp]で、
とあります。開発したNTTデータではなく、運用しているシンフォームを疑うのは当然でしょう。
さらにベネッセ自身も
と言ってるぐらいで、「シンフォームのさらに協力会社」を疑うというのは順当な推測だと思いますよ。
むしろシンフォームの名前を出さないのは、ベネッセからの公式情報をちゃんと読んでない証拠。
Re:どこが一番スライディング土下座すべきか (スコア:1)
別に本人に責任があるわけじゃないけど、来週月曜日にしまじろうが謝ったら全て許す!
それでも批判する人に対しては「バカばっか」と言ってあげやう
ベネッセのお知らせとプレスリリース (スコア:1)
ベネッセからのお知らせとプレスリリース、特に検索避けの処置がされていなくて、ちゃんと Google 等にも拾われているようです。
都合の悪いお知らせは検索避けをするような企業が多い中、ちょっとだけ感心しました。
弊社グループ社員以外の内部者 (スコア:1)
って、派遣社員を疑ってるってことかな? もし「派遣の者にDBアクセス権限を持たせていた」としたら、システム運用がかなりマズイってことになりそうです。
権限は渡してなかったけど、「ディスプレイに貼ったメモ」とかでパスワードがばれた、とかいうパターンもありそうですが、その場合は「内部者(データベースにアクセスできる権限を持つ者)」って表現にはならないよなぁ…
Re:弊社グループ社員以外の内部者 (スコア:2)
朝日新聞7月10日付の朝刊から引用します。
別件でテストデータの調達に苦労する話を聞いたことはありますが、ベネッセでは個人情報の扱いが簡単だから苦労しなくて済んだようですね(白目)。
Re:弊社グループ社員以外の内部者 (スコア:2)
うわー、そら思いっきりダメダメですね。「個人情報を適切に管理」できてないってことでPマーク剥奪では…と思ったら、
システム運用を請け負ってるシンフォームはPマークを2001年に取得したものの、2011年に返上 [synform.co.jp]してるんですね…
Re:弊社グループ社員以外の内部者 (スコア:2)
アクリフーズと同じパターンかな? (スコア:1)
ベネッセが全面敗訴 “リストラ被差別部署”での社内就活&退職勧奨は「人事権の裁量範囲を逸脱」
http://www.mynewsjapan.com/reports/1761 [mynewsjapan.com]
こんなことしてりゃ、内部から離反者とか出るわ
Re:全部購入? (スコア:5, おもしろおかしい)
AからKまで
Re:全部購入? (スコア:2, おもしろおかしい)
AとKじゃなくて?
Re:ジャストシステムはひどいとばっちり (スコア:3)
ジャストシステムは、「善意の第三者」ということですね。
しかし、法的には大丈夫でも社会的には痛手を受けるので、名簿を買う方もこれからは入手経路を確認することが必要になってくるのでしょうね。
でも、そんなことを考えていると、名簿業者は正規に出回る名簿をどこから買って来るのだろうかという疑問が湧いてきましたw
Re:ジャストシステムはひどいとばっちり (スコア:1)
「ジャストシステム株がストップ安、ベネッセの情報流用か」
http://jp.reuters.com/article/businessNews/idJPKBN0FF04V20140710
Re:ジャストシステムはひどいとばっちり (スコア:1)
善意の第三者でも、そうそう都合のいい名簿データがあると思えないんですが。
なんで、不正データだと判断した時点で損害賠償請求するとか、名簿業者名がわかるとかの社会的制裁がないと、同じような問題は今後も出るのでは?
Re:ジャストシステムはひどいとばっちり (スコア:1)
善意の第三者でも、そうそう都合のいい名簿データがあると思えないんですが。
たまたま買った名簿が、競合他社の顧客名簿だった…なんてことが普通にあり得るのでしょうか。話がうますぎるんじゃないかと。特に、後発のジャストシステムからすれば、トップシェア(なんだよね?)のベネッセの顧客名簿なんて、欲しくてたまらないだろうし、疑われても仕方のないシチュエーションではあると思います。
Re:ジャストシステムはひどいとばっちり (スコア:2)
むしろ同じ通信教育業界人ならば、この規模と精度の名簿を持てるのは
ベネッセしか考えられないのではと疑ってかかるべき。
今は役所に行っても他者の家族構成を把握できない時代。数千万件オーダーの
子持ち家族リストを維持更新できるのはベネッセぐらいなもんでは?
単に善意の第三者とするには無理があると思えてなりません。
Re:ジャストシステムはひどいとばっちり (スコア:2)
こんな記事も [impress.co.jp]出てますね。
ジャストシステム、「流出した情報と認識した上で利用した事実はない」 だそーで。
どーなんでしょ?
**たこさん**・・・
Re:ジャストシステムはひどいとばっちり (スコア:1)
他社から正規に購入したのだから合法というのぱそうなのだろうが、
そんな素性の怪しい物をなんの吟味もなく使用できるなんて企業倫理的にどうなのよ。
脱法ハーブキメても法律には触れてませーん、てのと同じだろ。
Re:ジャストシステムはひどいとばっちり (スコア:1)
素性が怪しくない名簿会社って寡聞にして知らないのですが
Re:ジャストシステムはひどいとばっちり (スコア:1)
システムやさんらしく非常に不器用ですよね。
いまなら名簿屋に責任を押し付けるのもできるのに。
一方ベネッセは文系集団だけあって器用だなあって思います。
世の人が見せ方にだまされないであって欲しいと思うけど、無理なんだろうなあ。
ちなみにベネッセとしては、犯人見つけられればとりあえずはセーフじゃないですかね?
自爆テロのように起きることは防げないので、おきたときに犯人特定出来る状態にしておくってのが
責任範囲じゃないですか?
Re:ジャストシステムはひどいとばっちり (スコア:1)
それは見せしめにするには小物だからという意味でしょうか?
反対に大物過ぎてペナルティを課すと社会的影響がまずいという意味でしょうか?
DNPや三菱の看板しょったMDISに比べればという比較において。
Re:どうしてバレたの? (スコア:2, 興味深い)
基本は、問いあわせ件数が多かった事ですが。
中には、マンション名を微妙に変えていたら。そのマンション名でDMが届いたという事例があって、
そこから漏洩した事実があって、
名簿業者を洗ってみたら。ベネッセしか保有していない情報(たぶん、ダミーデータだ)があったということで。それで真っ黒と。
ちなみに、+エイリアスは、私も時々やりますが。
分かる人は+除いたの送ってくるのであまり効果ないのかなーと思ってます。
(でも私もオマジナイのようにやってる)
Re:どうしてバレたの? (スコア:1)
> 個別に対応しておけば、ともかくこのように大々的に問題になることは避けられた
そんなことして、もし万が一「ネット上で話題に」なったりしたら、それこそ「ベネッセが一番の加害者」として大々的に問題になるでしょう。
そういう「秘密裏に処理してばれた時のリスク」を考えれば、「馬鹿正直な方が、最終的には得」だと思いますね。
それに、「ニュースリリースを検索避けに画像化」とか、よくある悪手に染まってないのも良い。
ググったらトップに出てくるので、又聞きの報道とか第三者の憶測とかではなく、ベネッセ自身からの生の情報が容易に得られます。
情報を漏らしたことへの是非はおいといて、
漏洩発覚後の対応内容としては、今の所のベネッセの行動は非常に好印象です。
Re:どうしてバレたの? (スコア:1)
進研ゼミ使うのに、変なメールが来ると嫌だと思って、
子供の名前を一文字変えて登録したら
その名前でDMが来たのでバレたらしいですね。
カンニングは間違った答えを写すことで露見する、みたいな
Re:どうしてバレたの? (スコア:1)
4月ごろに ○○○+benesse@gmail.com 宛ての SPAM が何通か来ました。ベネッセのサービス専用に使ってるメールアドレスです。
ベネッセのお客様センターに電話したんだけど、碌に取り合ってくれなかった。
今回のデータにはメールアドレスは含まれてないらしいんだけど、ひょっとして別ルートで別のデータも漏れてる???
Re:知らなくても (スコア:2, 参考になる)
ところが。
卒業名簿や電話帳を買ってくるのは合法なのと同じ理屈で、中間に入った名簿業者からジャストシステムまでの間は罪に問われないんですよ。
だから今の個人情報保護法はザルで一番問題のあるところを規制できないと言われる。
不正競争防止法あたりではぶっ込める可能性はある。
今回の件を切っ掛けにベネッセが中心となって是正する運動が始まるといいと思う。
生まれたときからトレースされてる (スコア:4, 興味深い)
1歳と4歳の子持ちですが、子供が生まれた時病院でもらった「産後セット」(入院中+α程度の紙おむつとか、いろいろ入ってる)の中に、ベネッセの「アンケートに答えると、子供の写真と名前入りオリジナル切手をプレゼント」というはがきが入ってました。
で、それに答えたら、子供宛にほぼ毎月のように「こどもちゃれんじ」とかのダイレクトメールが届くようになってます。たぶん今後十数年はダイレクトメールが届き続けるんでしょう…
#入会しなくても、ダイレクトメールに入っている「体験DVD」なんかだけでも、子供をあやす道具として結構便利に使えてるので、個人情報を売った価値はあったかなとおもってたり。
映像はものすごく安っぽいんですが、なぜかものすごく食いつきが良いんです。子供のツボをよく掴んでいるという点では、さすが最大手と思いましたね。
Re:職業倫理も論点にするべきでは (スコア:1)
たしかにそういうのもあるけど、今の時代、情報は漏れるのが当然ともいえる状況になってる。(残念なことに)
そんな中、漏らす側の問題をあれこれ議論しても、おそらく解決はしないし、
漏れた情報を使った攻撃に、個人がどれだけ自分で身を守れるか、という方も同時に大切になってくると思う。
詐欺や違法営業などを見極め、避ける知識をつけるのが大事。
だからといって企業側を放置していいというわけではないです。最終的に自分で自分を守れるだけの知識を、ってことです。
懸賞など目当てに無駄に個人情報をバラまかないのもひとつの策。
Re:職業倫理も論点にするべきでは (スコア:1)
職業論理なんかで防げると思っているのだとしたら、確かに問題だと思う。
毎年30万人が刑法犯として検挙されます。検挙率は30%程度です。実は人口の0.7%程度の人が、毎年犯罪を犯して検挙されます。雇用した従業員が犯罪を犯す可能性は思っているより遙かに高いのです。
犯罪に手を染める従業員の割合が例え0.001%程度であったとしても、従業員が1万人居れば誰かしら犯罪に手を染める可能性は10%近くもあります。
情報管理の基本、アクセス権限の制限と、アクセス履歴の監査で、不正行為を行える従業員の数を制限し、尚且つ早期発見できる体制を作るのが基本です。外部から指摘されるまで気がつかなかった当り、まともな情報管理なんか出来てなかったんだろうと思います。
・・・もっとも、自らセキュリティインシデントに気がつく事が出来るだけの技術と体制を維持している企業なんて数えるほどしかない気がしますが。
Re:職業倫理も論点にするべきでは (スコア:2)
生半可な指摘は滑稽ですね。
> >犯罪に手を染める従業員の割合が例え0.001%程度であったとしても、従業員が1万人居れば誰かしら犯罪に手を染める可能性は10%近くもあります。
> やりなおし。
計算式は書かれてませんけど、計算はあってますよ。「10%近くも」という表現がポイントでしょうね。「0.001%×10000=10%ぴったり」なんて計算ではない。
犯罪に染める割合が0.001%ということは、ある一人が犯罪に手を染めない確率は99.999%=0.99999。
ということは、1万人全員が犯罪に手を染めない確率は、0.9999910000=0.9048=90.48%になります。つまり、「誰かしら犯罪に手を染める確率は9.52%」で、「10%近くも」という表現になる、と。