ベネッセからの個人情報流出事件、30代のSEが逮捕される 109
ストーリー by hylom
個人情報売りますか、それとも人生やめますか 部門より
個人情報売りますか、それとも人生やめますか 部門より
あるAnonymous Coward 曰く、
ベネッセから大量の個人情報が流出した事件で、ベネッセの顧客データベースの保守管理を行っていた業者に派遣されていた30代SEが逮捕された(読売新聞)。
手口としては、貸与されたPCに個人情報をダウンロードし、そのPCにUSBで私物スマートフォンを接続してコピーした、というものだったそうだ。顧客情報は営業秘密として管理されていたが、容疑者はシステムの稼働テスト時に顧客情報のダウンロードを行えたという。また、DB自体には「情報をダウンロードして記憶媒体に複製しようとすると、エラー表示が出る仕組み」が導入されていたが、容疑者はこの仕組みを解除していたと報じられている(ウォール・ストリート・ジャーナル)。
容疑者は警察の事情聴取に対し「借金があった」とし、金目当てでの犯行であることが仄めかされている(MSN産経ニュース)。
これを受けてベネッセは改めて謝罪を行い、金銭的な補償を行うことについても考えているという(ITmedia)。
また、英会話学校を運営するECCもベネッセから流出したとみられる高校生の名簿を業者から購入してDMの発送に使っていたことも新たに明らかになっている(MSN産経ニュース)。
なお、名簿業者は「ベネッセのものだとは知らなかった」と主張しているが、名簿業者が個人情報を売買する際は出所を言わない、聞かないというのが暗黙のルールだったそうで、読売新聞の記事では、ある業者が 「聞かなかったことにしてほしいが、ベネッセの情報だ」と言われてその情報を購入したと話していることが伝えられている。
最初に買い取った名簿業者 (スコア:2)
最初に買い取った名簿業者の名称が報道されました。
名簿業者の事務所捜索、ベネッセ流出の認識焦点"> (読売新聞,2014年07月18日 22時16分)
そしてセフティーのサイト [s-safety.jp]。
会社案内 [s-safety.jp]に代表者の氏名が無いところが香ばしいですね。
Re:最初に買い取った名簿業者 (スコア:1)
リンク失敗。
名簿業者の事務所捜索、ベネッセ流出の認識焦点 [yomiuri.co.jp] (読売新聞,2014年07月18日 22時16分)
不思議タイトル (スコア:1)
39才と各記事で名言されてるのになぜわざわざ「30代」?
Re:不思議タイトル (スコア:3)
というか、日本って無駄に年齢や職業を強調するけど、あれ必要な情報なんだろうか。
事件や事故があったとき、だいたい年齢と職業まで公開されるんだけど。被害者・加害者関係なく。
Re:不思議タイトル (スコア:2)
そして借金の金額のようなプライバシーに関わる情報まで公開されるのに、
なぜか給料だけは公開されない。
こういう犯罪においては給料がいくらだったかというのは、動機を理解する上でも、
似たような犯罪を防ぐ上でも、とても重要だと思うんですけどねえ?
Re:不思議タイトル (スコア:2)
家賃が7万で、奥さんの入院とギャンブルの借金が250万くらいで月に12万くらい返していたと。
横目で見ていたテレビの報道情報なので、値は不正確かも知れませんが。
Re:不思議タイトル (スコア:1)
そもそもそんな知恵があったらギャンブルで借金作らない。
Re:給料38万円… (スコア:1)
自分は派遣だけと手元にそのくらいは残るよ。(残業は全くと言っていいほどしない)
この人は派遣でベネッセ行って、その後期間の問題か派遣会社に抜かれるのがいやで個人事業主になったんだろうね。
でも、DBに管理アクセスできる職務でデータ抜いたことを周囲に察知されない程度に作業を自律的に行える人=DBA
に払われる報酬としてはバカみたいに安いよ。
Re:給料38万円… (スコア:1)
ベネッセがシンフォームにデータ管理を業務委託し、逮捕されたSEがシンフォームに派遣されていた、とか。
もしかすると更に別会社が挟まっているかもしれませんが…ともかく、業務委託されていたからといって派遣されていないとは限らないわけで。
Re: (スコア:0)
「給料が安いから不正を行った」あるいは「給料が高ければ不正を行わない」とのお考えでしょうか。
借金はギャンブルが原因という報道もありますし、給料の絶対額よりも個人の資質のほうが大きいかと。
1384万の報酬を得ていながら360円のカラ出張を行っていた議員もいるくらいですし。
Re:不思議タイトル (スコア:1)
「金目当ての犯罪において、給料と犯罪で得られる金額とに強い相関が見られる」とは言えるでしょう。
たとえば、
「顧客データの買い取り価格が10万円の時、年収1千万の人が犯罪に手を染めるか?」
ということを考えてみればよろしいかと。
>借金はギャンブルが原因という報道もありますし、
たったの数十万だもの。
給料が高ければ、ギャンブルをやっても借金をする必要さえ無かったでしょうね。
#二児のパパで「慎ましい生活をしていた」という報道もあるんだな。
Re: (スコア:0)
同姓同名でも年齢が違えば
いまは交流のない同級生に勘違いされない
職業も同僚に勘違いされない
Re: (スコア:0)
当初派遣社員ってことで某掲示板では盛り上がってたからなぁ
派遣と委託の区別がつかない人が・・・あとIT業界特有のダークサイドを知らない人がwww
Re:不思議タイトル (スコア:2)
アラフォー
Re:不思議タイトル (スコア:1)
別に間違いでもないだろうに。
ケチつけるのが1stポストじゃないと困るのか?
Re: (スコア:0)
なんでそんな怒ってるんです…?
Re: (スコア:0)
怒ってるのか…?
通信教育のブランド (スコア:1)
進研ゼミなり、しまじろうなりをやってた(やってる)子供に、通信教育他社がダイレクトメールを送ってもあまり効果がないように感じるのは私だけだろうか?
/*
私が高校生ぐらいのころは学研の教材も結構メジャーだったような気がするけど、最近はきかないよねぇ。
*/
Re:通信教育のブランド (スコア:2)
ちょくちょく報道されてもいますが、ベネッセ本体も、体験イベントのアンケート等、あの手この手で就学児童の情報をかき集めていたようです。
というか、それらが、比較的真っ当な個人情報の収集方法なのでしょうけど。
−−−他人の褌を噛みしめて生きています
Re: (スコア:0)
電話勧誘とかもそうですが、百発百中狙う必要はなくて数打ちゃ当たるで1%でも成約取れれば御の字。
ましてや1度は通信教育を契約した人の情報ですから、ただの名簿よりは確率は高めでしょう。
進研ゼミに不満があるなら他社に乗り換えるってこともありえるし。
Re: (スコア:0)
既に進研ゼミなりをやってることを踏まえた引き抜き狙いのダイレクトメールにすればいいんじゃない?
手当たり次第に送るよりかは遥かに効果あるかと
Re: (スコア:0)
ウチにも来たあのDM、あんまり詳しく見てないけど、内容はベネッセと似たり寄ったりだったような。引き抜き狙いならもっと差別化しないといけないような気もするが、そうでもないのかな。
どっちが正しいんだ (スコア:1)
タレコミ文のウォール・ストリート・ジャーナル
>男はこの防止プログラムを解除していたという。
こちらは毎日新聞 [mainichi.jp]
>貸与のパソコンにスマートフォンを接続した際、情報を移せることに気づき、不正を始めた
これでは解除とは言えない
Re:どっちが正しいんだ (スコア:5, すばらしい洞察)
USBマスストレージデバイスを禁止してたけどもMTP接続はスルーだった、的なことを想像しました
Windowsの管理には詳しくないので、そんなことが可能なのか知りませんが
Re:どっちが正しいんだ (スコア:3)
clausemitz
Re:どっちが正しいんだ (スコア:2)
グループ ポリシーを用いたデバイスのアクセス制御について [technet.com]
Re:どっちが正しいんだ (スコア:1)
最近のスマホは外部ストレージ(SDカードR/W)モードが無くて、MTP・PTPのみだったりしますよね。
ところで、このケースを聞くに、
これまでもこの人に限らず充電のためにPCに接続していた事例が普通にあったのだろうが
(どうせデータはやり取りできないからと、充電は黙認だったり?)
例えばいきなりポリシー改定で全面禁止して代替策なしでは、他の従業員から不満が出ることだろう。
後知恵だが、モバイル充電専用タップを作業場所外にきちんと用意すればどうだろう?
というか、元からそうしていれば、わざわざPCに繋ごうとする人もいなかったのでは? とも思う。
Re:どっちが正しいんだ (スコア:2)
>例えばいきなりポリシー改定で全面禁止して代替策なしでは、他の従業員から不満が出ることだろう。
「貸与PCへのスマートフォンの接続禁止」を決めてみんなが守るようなら、
「個人情報持ち出し禁止」って決めればいいでしょう(し、実際そのように決まっていたでしょう)
仕組みでガードする方法を導入しないと、悪いことしようと思ってする人は止められないです。
Re:どっちが正しいんだ (スコア:1)
悪いことしようと思ってする人は仕組みだけじゃガードしきれないだろうから、
悪いことしそうな人を入れないようにはできないのでしょうかねぇ。
Re:どっちが正しいんだ (スコア:1)
やばい情報を扱ってる所だと私物持ち込み禁止だよ。
職場のPCで充電してるとかセキュリティがザルすぎる。
Re: (スコア:0)
おそらくそうかと。
デバイス制御でマスストレージだけやってて、
MTPがザルなんてのはよくある話。
Re: (スコア:0)
奥さん可哀そう。
Re:どっちが正しいんだ (スコア:1)
「かなり悪いオヤジ」だったということか。
借金も結婚もリスク (スコア:2, 興味深い)
借金も結婚もリスクです。リスクを冒せない人に結婚は無理です。
もちろん、結婚生活を長続きさせるには自制が必要だけど、結婚までならリスクを冒せればいい。このSEの場合は、リスクは冒せたけど、自制が足りなかったということでしょう。
Re: (スコア:0)
最近ちょっぴりshareにならない不正して始末書書いた程度にはモラルが無いし借金もありますが、結婚できていません。
来月容疑者と同じ年になります。
向こうの誕生日知らんからならないかも。
ところで部門名おかしくない? [google.co.jp]
Re:どっちが正しいんだ (スコア:1)
Re:どっちが正しいんだ (スコア:1)
そういうことができないように、記録できるようなデバイスは持ち込み禁止にして、
作業中も監視するはずなんだけど、それもやっていなかったということだよね。
ベネッセの個人情報の扱い自体に問題があったとしか思えない。
補償金とか、名簿を買った相手の名前を出すとかしなくていいから、
自分のところのセキュリティ体勢をちゃんと見直して欲しいところです。
Re:どっちが正しいんだ (スコア:1)
実際、そういうところも多いと思いますけど、
だから、今回のベネッセが許されるかというと、それは別問題ですからねぇ。
実際、他のところからは、漏れていないので、何か別の方法があるんですよ。きっと。
それが、給料だったり、人選だったりするかどうかは別として。
Re: (スコア:0)
第2ヒント:マスコミのIT知識
Re: (スコア:0)
真実は闇の中ってことか
Re: (スコア:0)
単にリムーバブルメディアに直接エクスポート出来ないだけだったりして
Re: (スコア:0)
クラウドのメールサービス使ってて、添付ファイルでドラフト保存、スマホからDLかな
Re: (スコア:0)
インターネットにつながる時点で、物理メディアなんていらないからな。
Re: (スコア:0)
プロキシ必須、POST禁止くらいはしてると思うの。
Re:どっちが正しいんだ (スコア:1)
POST 禁止で PUT が通ったりしてな。
ザル (スコア:0)
>名簿業者が個人情報を売買する際は出所を言わない、聞かないというのが暗黙のルールだったそうで、
聞かなきゃ適法になるのか?
そんな条文ではなかったよね。
半ば意図的に取り締まらないような状態だからデータを売る奴が現れるんだろうな。
Re: (スコア:0)
やっぱり名簿業者なんてアングラな存在だよなあ。まっとうな名簿屋というのは存在するのだろうか。
今回の件、盗んだヤツが一番悪いのは言うまでもないが、盗んだ個人情報を買い取って流通させる業者がそれを助長しているのも間違い無いところだろう。名簿業者への規制を強化して欲しい。
Re:ザル (スコア:5, おもしろおかしい)
>まっとうな名簿屋というのは存在するのだろうか
「役員四季報」を売ってる東洋経済とか、「プロ野球選手 カラー名鑑」を売ってる日刊スポーツとか、
そのものずばり「社員名簿」を販売しているコクヨとかがそれじゃないですかね。
200億/2000万=千円 (スコア:0)
この原田泳幸 こと補償に限り虚偽は一切言わぬ 出す・・・・・・!出すが・・・・・・今回 まだその時と場所の指定まではしていない そのことをどうか諸君らも思い出していただきたい つまり・・・・我々がその気になれば補償金の受け渡しは10年20年後ということも可能だろう・・・・・・・・・・ということ・・・・!
Re:待遇改善を要求 (スコア:1)
http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf
>> 社内調査により、原因として、弊社グループ社員以外の内部者
>> (データベースにアクセスできる権限を持つ者)の関与を推定しております
弊社グループ社員「以外」と言い切っていたのは、なんでだろう。
単に、弊社グループ社員の中に、dbを直接覗ける{権限|知識}のある者は居りません…だったりして?