Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ベネッセの顧客情報漏えい事件を振り返る

ベネッセ事件がひとつの区切りを見せた記事が出ていました。

www.sankei.com

ベネッセコーポレーションの顧客情報流出事件で、持ち株会社ベネッセホールディングスが巨額の損失を出したとして、東京都内に住む男性株主が、原田泳幸元会長や当時の役員ら6人に総額260億円を同社に賠償するよう求めた株主代表訴訟の判決で、岡山地裁は12日、請求を棄却した。

 判決理由で横溝邦彦裁判長は、個人データの安全管理に関し、「必要な措置は一次的にベネッセコーポレーションの取締役会で決定される事柄だ」と指摘。その上で、株主の主張では、親会社のホールディングス側にどのような義務違反があったのか立証が果たされていないと判断した。

(産経WEST記事より引用)

 

◆キタきつねの所感

この事件が起きた後、piyokango氏が詳しくまとめていた下記の記事などを見て、自分でも調べて資料を作ってました。その資料の一部は未だに、講演などで使う事があります。それだけインパクトがあった事件でした。

 

ベネッセの情報漏えいをまとめてみた。 - piyolog

 

地裁判決ではありますが、株主に影響を与えたとして、企業のトップの個人情報へのセキュリティ対策不備を問う訴訟請求が棄却された事になります。個人情報を漏えいされた顧客の集団訴訟は2018年6月に東京地裁で棄却されていますので、当時のベネッセのセキュリティ体制は必ずしも酷くはなかったと判断されたと見ることもできそうです。

携帯電話をUSB接続、派遣再委託、管理者権限付与、名簿業者への個人情報販売、、この事件では色々な脆弱性がつながって事件になったと言えますが、個人的な印象として、ベネッセ自体は一般的なセキュリティ対策は打っていたと思います。性善説ベースのセキュリティ体制、つまり内部犯行への監視が甘かった部分は責められるべきかも知れませんが、個人情報を取り扱う企業で、もっと酷い体制である所は未だに多いかも知れません。

 

今回の判決を受けて、裁判上の責任という部分では、ひと段落ついた感がありますが、ビジネス上ではベネッセは未だに事件の影響を引きずっています。それがよく分かるのが、ベネッセの会員数データです。f:id:foxcafelate:20180914074051j:plain

 

事件発覚は、2014年7月なので、影響度がよく分かるかと思います。2016年の一番会員数が減少したデータと2014年を比較すると、、、33%減少している事が分かります。ベネッセのビジネスモデルは、しまじろうをはじめとするキャラクターを効果的に使い、イベントでのアンケートや雑誌アンケートで合法的に子供の情報を収集し、小学生、中学生・・・と長くそのデータを学習ビジネスで活用するものでしたが、事件を受けてベネッセに情報提供する事に対する心理的抵抗を感じる親が多くなったり、既存会員の退会などでそのビジネスモデルは崩れ会員数が目に見えて下がったといえます。

business.nikkeibp.co.jp

 「個人情報流出のビジネスに対するインパクトは、思った以上に大きかったことを再認識した。今期の業績見通しは、(新学期が始まった)4月末の進研ゼミの会員数で決まる。3期連続の減収減益が明白になり、トップとしてどう振る舞うべきかを熟考して決めた」と原田氏は説明した。

日経ビジネス記事より引用)

 

事件の影響を受けて、2016年5月には原田社長が就任からわずか2年で退任してますが、この時の退任コメントに、個人情報漏えい事件(セキュリティインシデント)の影響が、企業側が想像していいる以上に大きくなってしまう可能性がある事を示唆しています。

企業の経営層の方々は、今一度、この事を思い出すべき・・・そんな風に、ベネッセ株主の請求棄却記事を読んで思いました。

 

 

英才教育のイラスト

 

 

更新履歴

  • 2018年9月14日AM(予約投稿)