ベネッセホールディングス(以下ベネッセHDと表記)

• (PDF) お客様情報の漏えいについてお詫びとご説明
• (PDF) 7月11日付株式会社ジャストシステムのリリースについて
• (PDF) 個人情報漏えい事故調査委員会発足に関するお知らせ
• (PDF) 経済産業省への報告書提出について
• (PDF) ＜お客様情報の漏えい＞ 弊社グループ会社の業務委託先の元社員の逮捕について
• (PDF) 弊社グループ会社業務委託先元社員のスマートフォンに保存されていた情報の弊社鑑定結果のご報告
• (PDF) 個人情報漏えい事故調査委員会の構成メンバー決定に関するお知らせ
• (PDF) 代表取締役および取締役の異動（辞任）に関するお知らせ
• (PDF) 特別損失の計上に関するお知らせ
• (PDF) 弊社グループ会社の業務委託先の元社員の起訴について
• (PDF) お客様情報の漏えいに関するご報告と対応について
• (PDF) 合弁会社設立に関する基本合意のお知らせ

ベネッセコーポレーション

• ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び（お問い合わせ窓口のご案内）(7/10 魚拓) (7/13 魚拓) (7/17魚拓)
  • ベネッセへ問合せを行いたい場合はこのWebサイト掲載の情報を参照のこと。
• 対応進捗

ジャストシステム

• 本日の一部報道につきまして(魚拓)
• ベネッセコーポレーションの個人情報漏洩の件に対する当社の対応につきまして(魚拓)
• 当社の対応についてのご報告(魚拓)

文献社

• (PDF) 株式会社ベネッセコーポレーションの顧客情報流出に関して

ECC

• (PDF) ベネッセコーポレーションの個人情報漏えいの件に対するお詫びと当社の対応につきまして

LAC

• ラックとベネッセホールディングス、合弁会社設立で基本合意

概要を図にまとめると次の通り。

漏えい件数

• 漏えいが確定した件数：約760万件*1
• 男性が持ち出した件数：約2,300万件(約2,260万件が発表されていたがこれとは重ならない約40万件が存在)
  • 2014年6月17日持ち出し：638万件
  • 2014年6月27日持ち出し：約1,880万件
  • 重複分含むと述べ約2億300万件*2
• 漏えい時期：2013年末頃〜2014年6月17日(コピーは6月27日も行われた)
• 漏えいした回数：約20回
• 漏えい対象：全国の1993年1月1日〜2013年12月31日に生まれた子供・保護者の情報が含まれる。*3

• 件数は全て1世帯を1件としてカウントしている。
  • 1件当たり保護者1名、子供1名の情報が含まれる。
  • 漏えい1件について最低でも2人の情報が漏えいしている。

漏えいした情報

• 保護者氏名(漢字・フリガナ)
• 子供氏名(漢字・フリガナ)
• 子供生年月日
• 子供性別
• 郵便番号
• 住所
• 電話番号(固定電話、または携帯電話)
• 出産予定日(一部サービス利用者のみ)
• メールアドレス(一部サービス利用者のみ)

• ベネッセHDは「センシティブな情報が漏れたわけではない」「金券配布は検討していない」と7/9の記者会見で明らかにした。*4
• ベネッセHDは調査会社が容易に名簿を入手できたことから、別の名簿業者に渡っている可能性も考えられると発表。
• ベネッセHDは7/17の会見で金銭的な補償に触れており、7/9の会見で否定した理由については「全容把握の時間がなく金銭的な話をする状況になかった」と説明。*5
• ベネッセHDは7/22の会見でクレジットカードや銀行口座情報の漏えいについて「現時点で確認をしていない」とコメント。*6

漏えいしたサービス

• これまでベネッセコーポレーションの以下のサービスを利用している、または過去していた人が対象の可能性。
  • こどもちゃれんじ （こどもちゃれんじ babyを含む）
  • 進研ゼミ小学講座
  • 進研ゼミ中学講座
  • 進研ゼミ高校講座
  • 難関私立中高一貫講座
  • 東大特講√T 京大特講√Ｋ
  • 中学受験講座
  • 公立中高一貫校受験講座
  • こどもちゃれんじ English
  • Worldwide Kids
  • BE-GO
  • かがく組
  • こども英語教室（直営）
  • グリムスクール（直営）
  • コラショえいご
  • サイエンス教室
  • 学習教室
  • 文章表現力教室
  • 考える力プラス講座
  • 得点力学習 DS
  • ポケットチャレンジ
  • しまじろうミュージック
  • EVERES
  • いぬのきもち
  • ねこのきもち
  • be-fa！

漏えいしたWebサービス

• ベネッセライフスマイルショップの一部サービスの利用者
• ベネッセウィメンズパークの一部の登録者

• 20代〜40代の女性の名前が多い。
• 出産予定情報は約20万件が含まれていた。*7

漏えいしたイベント・関連事業

• 仙台市 八木山動物園で開催されたイベント*8

• 京都市 京都市動物園 スタンプラリー*9
  • 株式会社ベネッセコーポレーションの個人情報流出についての京都市動物園からのお知らせ

• 福岡県南会津町、檜枝岐村で使用ししている県補助事業で使用するベネッセの教材関連*10
  • ベネッセへの照会により判明。

• イベントで得た情報のデータベースが漏えいしたかどうかは調査中との報道もある。*11

影響を確認中・受けていないベネッセのサービス・イベント

• 確認中
  • 岡山県赤磐市*12

• 影響なし
  • 全国学力テスト*13
  • 横浜市動物園「よこはま動物園ズーラシア」「野毛山動物園」で開催されたイベント*14 *15
    • (PDF) 株式会社ベネッセコーポレーションの個人情報漏えいについて

ベネッセの事業影響

• 通信教育サービスの退会申し出が約3000件*16
  • 実際に退会が出来ているかは集計できていない。
• 情報漏えい発覚後に株価下落

ベネッセHD・コーポレーションの対応

• 顧客情報データベースの稼働を停止。
• 情報漏えい事案に関する対外向けの発表。
• 問合せ窓口の設置。
  • １００回線以上準備した専用電話の模様。*17
• 安全性が確認されるまでの新たな顧客への販売促進活動の停止。
  • 鉄道博物館 2014 夏のイベント「親子で挑戦！「鉄道博物館クイズラリー」 を中止。*18
• 調査・捜査により漏えいが確定した顧客への連絡。

• 経営陣の引責辞任
  • ベネッセHDの福島保副会長と明田英治最高情報責任者が辞任。
  • ベネッセHD原田会長兼社長自身についての処分、辞任は考えてないとのこと。
  • 漏えいが原田氏就任以前に発生しているため。*19

• 補償対応
  • 200億円を原資として対応
  • 金券、受講料減額やお詫び品の送付などを行う方針
  • 特別損失として約260億円が計上された

• 個人情報漏えい事故調査委員会の設置
  • 外部有識者による第三者委員会
  • 委員長：小林英明弁護士
  • 設置日：2014年7月15日
  • 1ヶ月程度の期間をめどに調査を行い、然るべき時期に報告予定。

• 今後の対応(7月15日時点)
  • 顧客情報データベースのアクセス監視強化と外部持ち出しへの制限強化
  • 情報セキュリティ専門会社の監査の実施。ガバナンス強化に向けた取組計画の策定とその実行。
  • 漏えいした顧客情報を使用している事業者に対して拡散防止の協力を求める
    • 協力が得られない場合は告訴も辞さない模様。

政府の対応

• 個人情報保護法の改正を検討
  • 来年通常国会に改正案を提出する方針
  • 被害の拡大防止措置や名簿業者が個人情報を売買する際の第三者機関への届出等を検討

総務省の対応

• 全省庁、独立行政法人に対して個人情報の管理徹底を要請
  • (PDF) 行政機関等が保有する個人情報の適切な管理の徹底について（通知）
  • 個人情報へのアクセス状況、入退室、外部委託の管理状況等をチェックするよう要請。

経済産業省の対応

• (株)ベネッセコーポレーションに対して個人情報保護法に基づく報告徴収を要請しました
  • ベネッセへ個人情報保護法に基づく報告を要請。
  • 報告期限：7月17日
  • 報告方法：書面

• 報告内容*20
  • 漏えいの概要、経緯
  • 事実関係
  • 従来より行っていた管理
  • 漏えい発覚以降の対応や、現在の管理
  • 今後の再発防止策

• ベネッセによる再発防止策についての報告*21

• ジャストシステムへヒアリング*22
  • 個人情報の購入経緯、出自の確認方法等

• 業界３団体へ再発防止要請*23
  • (PDF) 個人情報保護法等の順守に関する周知徹底についての要請 (日本通信販売協会向け文書)
  • 全国学習塾協会 (PDF) 学習塾の個人情報保護における関係法令・規範の遵守について
  • 全国学習塾協同組合
  • 日本通信販売協会 (PDF) 個人情報保護法等の遵守並びに安全管理の徹底について（要請）

• 名簿業者への聞き取り調査*24

警察(警視庁)の対応

• ベネッセからの相談を受け捜査を開始。
• 「不正競争防止法違反(営業秘密の複製、開示)容疑」で捜査。*25
• 警視庁生活経済課が担当。
• 名簿業者へ任意の事情聴取。*26
• シンフォームへ任意の事情聴取。*27
• 再委託先へ任意の事情聴取。
• 再委託先男性へ任意の事情聴取、逮捕。

JIPDECの対応

• プライバシーマーク制度 - お知らせ（2014年）：株式会社ベネッセコーポレーションのお客様情報の漏えいについて

文献社の対応

• 商品の安全が確認されるまで取引を停止。

逮捕された男性の情報まとめ

• システムエンジニア、39歳、男性、転職2回
• 東京都府中市在住
• 家族4人、当初借金が300万ほどあり生活苦だった
• 現在の借金が170万(内ギャンブル分は約60万円)に減っていた
• 解雇直前の月給は約38万円、内11万円を借金返済
• 約20年のベテラン、他の派遣社員の指導的立場*39
• 2012年1月委託元企業に就職
• 2012年4月からシンフォームに委託社員として勤務
• シンフォーム東京支社(東京都多摩市の事業所)に出入り
• シンフォームのDB保守管理業務再委託先の1社から委託
• 顧客データベースの開発に関与、設計通り動くかチェックを担当*40

報道・発表されている情報

• 7/9 ベネッセはベネッセグループ社員以外の内部者の関与と推定していると発表。
  • 内部者とはデータベースへアクセスできる権限を持つ(関係者)ものを指す
  • ベネッセHD原田会長兼社長は「被疑者はグループ社員ではない」と強く否定。*41
  • 外部からの不正アクセスではない。過去に遡って外部からの不正アクセス有無を検証済み。
  • ベネッセのシステムは24時間のセキュリティ監視を委託している。

• 7/11 サーバーからはUSBメモリ等を使って持ち出された可能性が高いと報道*42
  • このデータベースとは「新顧客基盤」のこと?
  • お客様事例 株式会社ベネッセコーポレーション様(PDF)
  • データを取り扱う部屋は担当者以外入ることはできない。*43
  • 私物持込みは制限されており、手荷物検査は行われていた。
  • USBメモリ等記録媒体への対策は特に行われていなかったと報道。*44

• 7/12 シンフォーム再委託の社員が関与した可能性と報道。*45 (以下報道より)
  • 再委託先のSEに与えられていたIDでDBに接続した形跡を確認。
  • 閲覧にベネッセ貸与のPCが使用されていた。
  • 2013年末複数回にわたり大量の情報を閲覧していた。
  • 2013年末に施設の入退室記録とDBのアクセス記録が残っていた。*46
  • 施設の入退室記録とデータベースのアクセス履歴から、下請け業者の関係者が昨年末にデータベースにアクセスし、顧客情報をコピーした痕跡
  • アクセス可能なID、パスワードが付与されていたのは業務上必要なため。*47

• 7/14 下請け企業の男性へ任意の聴取と報道。*48
  • 任意聴取の対象は漏えいに関与したとみられるシステムエンジニアの男性
  • DBの保守管理を再委託された業者の委託社員として勤務していた。
  • 男性は多摩市のシンフォーム東京支社に出入り。
  • 男性のIDで顧客情報をダウンロードした履歴が残っていた。
  • 発覚直前の2014年6月まで複数回にわたりコピーし、何度も売却をしていた。
  • 名簿業者はインターネットで探していた。
  • 直接の手渡しの他、インターネットを通じて名簿業者と情報の売買を行っていた。*49
  • 名簿業者へは不正に取得した情報ではないとして売却していた。*50
  • 男性は1回当たり15万〜35万、合計で約250万円で売却を行っていた。
  • 男性はsafetyへ「イベントで集めた情報だが不要になったので売りたい」と購入を持ちかけていた。*51
  • 月１，２回程度の頻度でデータの複製、持ち出しを行っていた。
  • 男性の任意聴取での供述
    • 「金が欲しくてやった。名簿が金になると思った」*52
    • 「自分から名簿業者に持ちかけ、データを販売した」*53
    • 「名簿は数百万で売却した。ギャンブルで使った」*54
    • 「データを一つの業者に売却した」*55
    • 「打ってはいけないことは知っていた」*56
    • 「パチンコやパチスロで数十万円の借金があった」*57
  • 男性が任意提出した記録媒体や自宅のPCから大量の子供の個人情報が見つかった。*58 *59
  • 大量のデータ容量を小さくするため圧縮ファイルで小分けにして記録媒体にコピーしていた。*60
  • 男性は借金を抱えており、生活費に充てていた。*61
  • 男性は顧客情報データベースの開発に関与していた。
  • 顧客情報データベースに備わっていた流出防止プログラムを解除していた。

• 7/15 男性へ逮捕状請求方針と報道。*62
  • 警視庁計活経済課が不正競争防止法違反容疑で立件する方針。*63
  • 警視庁はダウンロード履歴の照合、持ち出された情報が営業秘密に当たるかなど詰めの捜査中。
  • 警視庁は交友関係などの洗い出しを進め他関与した人物がいないかも調査中。
  • 警視庁は男性が任意提出した記録媒体の情報とデータベースの情報を照合して調査中。
    • ベネッセの顧客情報データベースと一致していたと報道。*64
    • 約2000万件の子供の個人情報が記録媒体から発見された。*65

• 7/17 男性へ逮捕状請求と報道。*66
  • 不正競争防止法違反(営業機密の複製)の容疑。
  • 開示についてもあわせて捜査中。

• 7/17 男性が逮捕と報道。
  • 容疑は6月17日に業務用PCを使って営業秘密である顧客情報をダウンロードし保存。スマートフォンに転送の上複製し入手した疑い。
  • 2013年7月にスマートフォンの充電を行おうとしてデータの持ち出しが可能であることに気付いた。
  • 警視庁が男性宅の家宅捜索が行われた。
  • 外付けハードディスクやDVD等を押収。

• 7/18 男性が発覚後の6月27日も顧客情報をダウンロードしていたと報道。*67
  • ダウンロードした件数は約2千万件
  • 発覚を恐れたためか、この時取得した情報はsafetyへの売却は行われていない。
  • safety売却の際に「盗難品ではない」とする誓約書を書いていた。*68

• 7/23 男性が情報を盗むのに使用したIDについて報道。*69
  • 3種類のIDとパスワードを使用した。
  • 専用のPC、作業用サーバー、顧客情報管理サーバーの3つ。
  • 担当者は100人以上存在したが、アクセス権を所有していたのはSEを含む数人。

• 7/24 男性の名簿業者への売却状況について報道。
  • 5社に売却を持ちかけた。
  • 出所不明の情報は購入不可と4社に断られた。*70
  • 入手先について深く追求はされなかった。*71
  • 売却する際、身分証と免許証を提示した。*72
  • 顧客データの入ったSDカードを持ち込んだ*73

• 8/2 警視庁が男性を再逮捕方針と報道*74
  • 不正競争防止法違反（営業秘密の複製）容疑で再逮捕する方針。
  • 顧客情報約2千万件を不正に持ち出した疑いが強まったため。
  • コピーした顧客情報にはDBに記載されている進研ゼミ等ベネッセのサービス名が含まれていなかった。*75

• 8/6 男性が他2つの名簿業者に売却をした疑いがあると報道*76
  • 業者はいずれも都内。
  • 男性は名簿業者へ「何回か売ったような気がする」と供述
  • 男性はさらに別の名簿業者へ1回だけ売却したと供述

• 8/7 東京地検立川支部が男性を起訴と報道
  • 不正競争防止法違反(営業秘密の複製)の罪で起訴*77

• 8/8 男性が特定を避けるため偽装工作を行っていたと報道*78
  • 顧客情報からはベネッセから取得した情報であることが分からないよう偽装。
  • 講座名等を省略。

• 8/11 警視庁が男性を再逮捕と報道*79
  • 容疑は不正競争防止法違反(営業秘密の複製)
  • 6月27日に約2001万件の顧客情報を名簿業者に売却する目的で複製した疑い。
  • 男性は持ち出した顧客情報は売却していないと供述。
  • その後の捜査で都内3つの業者に合わせて400万円で売却したことが判明。
  • 合計20回(延べ2億300万件)にわたり売却。*80

ジャストシステムが購入した名簿

• 購入件数：2,573,068件*86
• 購入時期：2014年5月21日
• 7月9日以降、同データの使用を停止していると発表。
• 道義的理由から入手したデータすべてを削除することにしたと発表
• ベネッセより一方的な削除は警察、経産省のによる原因究明をむずかしくするとしてやめるよう書面が贈られたと報道。*87
• 7月12日時点でまだ削除は行っておらず、警視庁から要請があれば対応すると報道。*88

ECCが購入した名簿

• 購入件数：約7万5000件の内、約2万7000件がベネッセの漏えいデータ
  • 漏えいが含まれる件数は名簿業者からの申告による
  • この内DMの発送に使われた件数は約1万9600件
• 購入費用：約60万円
• 購入時期：2014年2月から4月
• 対象：大阪府北部、兵庫県、名古屋市に住む高校1年・2年の名簿

文献社が購入した名簿

• 購入件数：約230万件分*93
  • 件数は誤っている可能性あり。
• 購入時期：2014年4月下旬〜5月頃