Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ベネッセが受けた信用損害

2014年に発生したベネッセ個人情報漏洩事件の影響が未だに尾を引いている事は、日本企業のセキュリティ投資に対する警鐘と考えた方が良いのかも知れません。

mainichi.jp

 

 ベネッセコーポレーションの情報流出事件を巡り、被害に遭った顧客らが損害賠償を求めた控訴審判決で、東京高裁は27日、同社とグループ会社「シンフォーム」に、1人当たり2000円の支払いを命じた。この事件でベネッセに賠償を命じる判決は初めて。

 今回判決が出た訴訟は2件で賠償支払い対象は5人。萩原秀紀裁判長は、個人情報の管理を委託されていたシンフォームが、漏えい対策を講じる義務があったのに怠ったと認定。ベネッセについても「監督する注意義務があった」として過失責任を認定した

 事件では、子どもや保護者の名前、住所、生年月日、電話番号などが流出した。萩原裁判長は「漏えいによる不快感や不安感が抽象的だったとしても、何らかの精神的苦痛を生じさせることは避けられない」として、プライバシー侵害に伴う損害を認めた。賠償額は、ベネッセが500円相当の金券を配布したことなどを考慮し、1人当たり2000円とした。1審判決はいずれも原告側の請求を棄却していた。

毎日新聞記事より引用)

 

 

◆キタきつねの所感

現在継続している訴訟があるので、恐らく最高裁まで行く事例が出てくるのだろうと思いますが、正直、まだこの事件が尾を引いているのは、企業として大型の個人情報流出事件を発生させる事が、いかに経営リスクとなるかを表していると思います。

事件から5年経過しても、裁判所の判断が毎回報じられるのは、企業としての信用を毎回傷つけている事に他なりません。

個人賠償額判決の中身は、言い方が悪いかも知れませんが、たかだか「2500円」に過ぎません。被害を受けた会員(とその両親)の全員が訴訟を起こしている訳ではありませんので、事件を受けての罰金・賠償額の総計は、GDPRの様な巨額な額にまで達する事はないかと思います。

そうした意味では、たかだか2500円、と事件の影響を軽視する方もいるかも知れません。しかし、ベネッセの教育事業に与えた影響は、5年が経過した今も「進研ゼミ」の会員数が当時の水準に戻ってないと聞けば考え方が変わってくるのではないでしょうか?

 

2018年のベネッセ決算資料によると、ベネッセの主力事業「進研ゼミ」の会員数は257万人です。

benesse64r (6)

 

事件が発生した頃は、減少傾向にはあったとは言え、400万人を超える会員が居た時もあるにも関わらず、2014年の事件の影響を受けて大きく会員数を減らしてしまっい、現在は少し持ち直した程度(前年比+12万人)でしかありません。

 

ベネッセ、あるいはベネッセの情報を預かっていたシンフォーム社はセキュリティ対策を打ってなかった訳ではありません。発表されている資料をみる限り、むしろ一般の企業よりは高いセキュリティ体制を構築していたと言っても良いかと思います。

では何が問題だったのか?となると、複数の要因が考えられますが、改めてベネッセの最終報告書を読むと、直接の原因はディバイスロックの設定不備である事が分かります。

 

公式発表 個人情報漏えい事故調査委員会による調査結果のお知らせ

 

(2) クライアント PC 上のデータのスマートフォンへの書出し制御設定
(中略)

運用上も当該行為を制御するシステム(以下「本件書出し制御システム」といい、書出し制御機能の設定を「本件書出し制御設定」という。)が採用されており、当該システムをバージョンアップさせる際に、本件書出し制御設定の見直しを行っていた。しかし、本件書出し制御システムのバージョンアップの際に、特定の新機種のスマートフォンを含む一部の外部メディアへの書出しについて、書出し制御機能が機能しない状態が生じたため・・・

 

 

ディバイスロックのバージョンアップ時の設定ミスで、最大3504万件の個人情報漏洩に至ってしまったというのは言い過ぎかと思いますが、1つの設定ミスが発生しても、それを多層防御でカバーできるセキュリティ体制になってなかった所は、ベネッセ・シンフォーム側の油断であったのかなと思います。

 

因みに、私は直接の事件原因は「ディバイスロックの設定ミス」だったとしても、事件が大きな被害を出した原因は、特権ID管理に問題があったからだと思います。シンフォーム社の派遣社員(犯人)に対し、システム移行中であったとは言え、保守の範囲を超える権限が付与されており、(推測となりますが)セキュリティ体制に不備がある事を知られてしまっていた事から、犯行に及ぶ環境が出来てしまったのではないか・・・と思います。

 

久しぶりに、事件の最終報告書を読んだので、余計な部分まで書いてしまった気がしますが、特に個人情報を多く抱える会社の経営層は、ベネッセ事件が未だに尾を引いている事も考慮に入れて、自社のセキュリティ体制(予算)を考えるべきなのではないかなと、高裁の判決記事を見て改めて思いました。

 

 

f:id:foxcafelate:20190629131327p:plain

更新履歴

  • 2019年6月292日PM(予約投稿)