ベネッセ顧客情報流出事件
夏休みを間近に控えたこの時期に、子供の個人情報が大量に流出していたという事実が公表され、大きな事件に発展しそうな状況です。新聞報道等によれば、7月9日、「進研ゼミ」などの教育事業を手がけるベネッセ・ホールディングス(以下ベネッセHDという)は、同社が管理する顧客の情報約760万件が外部に流出し、流出件数は同社が取り扱うDB上にある総数2070万件程度まで増加する可能性があることを公表しました。流出した個人情報には、子供の氏名、生年月日、性別、住所、電話番号、及び保護者の氏名などに限られ、銀行口座及びクレジットカード等の番号は含まれないとしています。
ベネッセHDからの要請を受けた警視庁は、顧客情報を重大な営業秘密として、不正競争防止法(東芝vs韓国ハイニックス機密漏えい事件_3月13日参照)違反の疑いで捜査を開始しました。一方、経産省もベネッセHDに対して個人情報保護法に基づく報告を求めることになりました。
14日現在、顧客情報のデータベース(DB)を管理する下請け業者でシステムエンジニア(SE)として勤務する派遣社員の男が流出に関与した疑いが強まり、警視庁生活経済課が不正競争防止法違反(営業秘密複製、開示)容疑で立件する方針を固めたとのことですが、この派遣社員が容疑者とされている根拠は、当該SEのIDで顧客情報がコピーされていること、任意の事情聴取に対して「名簿がお金になると思った」と、持ち出したことを認めたことです。DBの保守・管理を担当するグループのIT関連会社「シンフォーム」支社からPCを持ち出すことは禁じられていたようですが、USBメモリーなどの記録媒体を接続することは可能で、隠し持っていた記録媒体に顧客情報をコピーして盗み出したとみられています。
補償について、ベネッセHDの原田泳幸会長兼社長は「クレジットカードの番号などセンシティブ(重要)な情報は流出していない。信頼を回復する方がもっと大事だ」と、応じない考えを示しています。流出した情報に、銀行口座及びクレジットカード等の番号は含まれておらず、金銭的な被害が出る可能性は低いというのがその根拠のようです。しかしながら、760万件余りの子供の年齢、性別、住所及び電話番号が特定できる個人情報が流出してしまった事実は、将来において社会不安を引き起す可能性の種を蒔いてしまったようなもので、重要な情報でないはずではなく、むしろより深刻な問題であるという指摘もあります。また、今回の情報流出事件発覚のきっかけは、教育事業に進出しようと目論むIT企業が名簿業者から流出DBを買った事実が明らかになったことからでした。ベネッセ・グループの情報管理の杜撰さ又は労務管理の脇の甘さが指摘されても仕方がない状況です。
大量の個人情報又は顧客情報のDBは、「秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」として不正競争防止法の保護の対象となる重要な企業秘密といえます。それだけではなく、これらの情報は流出すれば特定の個人や顧客を危険に曝したり、不利益を被らせることに至る可能性も含んでいます。情報を保護するために、従業員の守秘義務などを就業規則の服務規程などで明確に規定しておくことは必須です。その上で、基幹となるDBを閲覧できる従業員は、特定の信頼度の高い者に限定することが理想的です。しかし、業務上DBの閲覧を広く従業員に開放する必要がある場合には、PCの社外への持ち出しは厳禁とし、社内でのUSBメモリー等の使用も物理的に不可能な仕様又は仕組みが必要です。
そもそも、目先の現金収入を目当てに内部情報を外部に売るような行為は、人として非常識の極みです。しかし、残念ながら非常識の極みに当たる行為を行う従業員が存在する以上、少なくとも、目先の現金収入を目当てに内部情報を外部に売るような可能性のある従業員にDBを扱わせることもまた、経営者として非常識の極みといわざるをえません。情報漏えいを許してしまった経営陣の責任は、非常に重いものと思われます。
ベネッセHDからの要請を受けた警視庁は、顧客情報を重大な営業秘密として、不正競争防止法(東芝vs韓国ハイニックス機密漏えい事件_3月13日参照)違反の疑いで捜査を開始しました。一方、経産省もベネッセHDに対して個人情報保護法に基づく報告を求めることになりました。
14日現在、顧客情報のデータベース(DB)を管理する下請け業者でシステムエンジニア(SE)として勤務する派遣社員の男が流出に関与した疑いが強まり、警視庁生活経済課が不正競争防止法違反(営業秘密複製、開示)容疑で立件する方針を固めたとのことですが、この派遣社員が容疑者とされている根拠は、当該SEのIDで顧客情報がコピーされていること、任意の事情聴取に対して「名簿がお金になると思った」と、持ち出したことを認めたことです。DBの保守・管理を担当するグループのIT関連会社「シンフォーム」支社からPCを持ち出すことは禁じられていたようですが、USBメモリーなどの記録媒体を接続することは可能で、隠し持っていた記録媒体に顧客情報をコピーして盗み出したとみられています。
補償について、ベネッセHDの原田泳幸会長兼社長は「クレジットカードの番号などセンシティブ(重要)な情報は流出していない。信頼を回復する方がもっと大事だ」と、応じない考えを示しています。流出した情報に、銀行口座及びクレジットカード等の番号は含まれておらず、金銭的な被害が出る可能性は低いというのがその根拠のようです。しかしながら、760万件余りの子供の年齢、性別、住所及び電話番号が特定できる個人情報が流出してしまった事実は、将来において社会不安を引き起す可能性の種を蒔いてしまったようなもので、重要な情報でないはずではなく、むしろより深刻な問題であるという指摘もあります。また、今回の情報流出事件発覚のきっかけは、教育事業に進出しようと目論むIT企業が名簿業者から流出DBを買った事実が明らかになったことからでした。ベネッセ・グループの情報管理の杜撰さ又は労務管理の脇の甘さが指摘されても仕方がない状況です。
大量の個人情報又は顧客情報のDBは、「秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」として不正競争防止法の保護の対象となる重要な企業秘密といえます。それだけではなく、これらの情報は流出すれば特定の個人や顧客を危険に曝したり、不利益を被らせることに至る可能性も含んでいます。情報を保護するために、従業員の守秘義務などを就業規則の服務規程などで明確に規定しておくことは必須です。その上で、基幹となるDBを閲覧できる従業員は、特定の信頼度の高い者に限定することが理想的です。しかし、業務上DBの閲覧を広く従業員に開放する必要がある場合には、PCの社外への持ち出しは厳禁とし、社内でのUSBメモリー等の使用も物理的に不可能な仕様又は仕組みが必要です。
そもそも、目先の現金収入を目当てに内部情報を外部に売るような行為は、人として非常識の極みです。しかし、残念ながら非常識の極みに当たる行為を行う従業員が存在する以上、少なくとも、目先の現金収入を目当てに内部情報を外部に売るような可能性のある従業員にDBを扱わせることもまた、経営者として非常識の極みといわざるをえません。情報漏えいを許してしまった経営陣の責任は、非常に重いものと思われます。
2014年07月16日 12:00 | 人事労務