ベネッセ個人情報流出事件
ベネッセ個人情報流出事件 | |
---|---|
日付 | 2014年7月9日(発覚) |
概要 | 企業保管の個人情報の外部流出 |
犯人 | 外部委託企業の派遣社員 |
動機 | 貧困による金銭目的 |
対処 | ベネッセ取締役2名の辞任 |
ベネッセ個人情報流出事件(ベネッセこじんじょうほうりゅうしゅつじけん)とは、2014年7月9日に発覚した、「進研ゼミ」や「こどもちゃれんじ」を運営する、通信教育の最大手企業であるベネッセコーポレーションの個人情報流出事件。流出した顧客情報は最大で3504万件に及ぶ。
概要
[編集]2014年6月ごろより、ベネッセの顧客に、ベネッセのみに登録した個人情報を使って他社からダイレクトメールが届くようになり、ベネッセから個人情報が漏洩しているのではないかという問い合わせが急増した[1]。 ベネッセは社内調査を行い、同年7月9日、原田泳幸会長が記者会見し、「データベースの顧客情報が外部に持ち出され、最大約2070万件の情報が漏洩した可能性がある」と発表した[2]。流出した情報は、進研ゼミなどの顧客の情報であり、子供や保護者の氏名、住所、電話番号、性別、生年月日などが該当する。
7月19日、警視庁は、ベネッセのグループ企業、シンフォームに勤務していた派遣社員のエンジニアを逮捕。取り調べで情報を持ち出し、名簿業者に売却したことを認めた。
この事件により、責任部署にいた二人の取締役が引責辞任した[3]。また本事件の影響で大規模な顧客離れが起き、同社は経営赤字に転落するなど、経営に対する重大な打撃となった。
時系列
[編集]- 2013年12月 - 情報の不正持ち出しが始まる。
- 2014年1月ごろ - 名簿業者「パン・ワールド」が別の名簿業者から顧客情報を購入。
- 5月中旬 パン・ワールドが名簿業者「文献社」に顧客情報を転売。
- 同21日 - 文献社が通信教育を手掛ける「ジャストシステム」に顧客情報を転売。
- 6月 - ジャストシステムが、名簿業者から購入した顧客情報を利用したダイレクトメールを送付。ダイレクトメールを受け取ったベネッセの顧客から、個人情報漏洩の問い合わせが相次ぐ。
- 6月27日 - ベネッセが社内調査を開始。
- 6月30日 - ベネッセが警察と経済産業省に報告。
- 7月9日 - ベネッセの原田泳幸会長兼社長が記者会見し、「最大約2070万件の情報が漏洩した可能性」と発表。警視庁が捜査を開始。
- 7月12日 - ジャストシステムの入手ルートとは別に、複数の名簿業者の間で顧客情報が取引されていたことが判明[4]。
- 7月15日 - 小林英明弁護士を委員長とする社内調査委員会を設置[5]。
- 7月16日 - 情報流出したデータは、少なくとも3つのルートで、名簿業者など約10社に拡散していたことが分かった[6]。
- 7月17日 - シンフォーム勤務の派遣社員である、当時39歳のシステムエンジニアの男を逮捕[7]。ベネッセは顧客情報に関するデータベースの運用や保守管理を「シンフォーム」に外部委託。同社は業務をさらに複数の外部業者に分散して再委託していた。犯人は外部の業者から派遣されて同社のデータベースシステム管理を担当し、顧客情報にアクセスする権限があった。のちの調べに対し、顧客情報を持ち出したことを認め、「金がなくて生活に困っていたので、名簿業者に複数回売却した。総額は数百万円になった」と供述した。
- 7月17日 - ベネッセは、顧客情報が流出した経緯や再発防止策をまとめた報告書を、経済産業大臣に提出した[8]。また、利用者への補償として200億円の原資を準備していること、受講費の減額などを検討していることを発表[9]。
- 7月18日 - 英会話学校大手のECCが、流出した可能性がある約2万7000件の高校生のデータを、大阪府の名簿業者「フリービジネス」から購入し、ダイレクトメールを発送していたことが分かった。ECCはフリービジネスから高校1・2年の名簿計約7万5000件を計約60万円で購入。このうち約2万7000件がベネッセのデータとみられ、2月から5月にかけて約1万9200件のDMを送ったという[10]。フリービジネスが販売したデータは2013年11月に千葉県内の名簿業者から購入した800万人分の名簿の一部で、ECCのほかに全国の塾や予備校、着物の販売店など数十社に要望に応じて販売していた[11]。同日、容疑者から顧客情報を買い取っていた東京都千代田区の名簿業者のセフティーの事務所を家宅捜索[12]。
- 7月22日 - ベネッセは、情報流出の状況について記者会見で、通信教育サービス以外の顧客同士の交流サイト、出産や育児関連の通信販売サービスでも、個人情報が流出したと発表した[13]。この事件の影響により、2014年夏休みに開催予定だった鉄道博物館の一部イベント[14]など、ベネッセ主催の子供向けイベントを2014年秋まで中止することを決定した[15]。
- 9月10日 - ベネッセは記者会見を開き、顧客情報漏洩件数を3504万件と公表。個人情報漏洩被害者へ補償として金券500円を用意するとした。35社が漏洩した個人情報を利用しており、事業者に対して個人情報の削除を求めるなど、利用停止を働きかけていると説明した[16]。
- 10月28日 - 不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者「セフティー」の事務所など、関係先6カ所を不正競争防止法違反容疑で家宅捜索した[17]。
- 11月26日 - 日本情報経済社会推進協会は、ベネッセホールディングスが取得していた、個人情報を適切に管理する企業に与えられるプライバシーマークを取り消した[18][19][20][21]。
- 2015年5月1日 - 4月の「進研ゼミ」「こどもちゃれんじ」の会員数は271万人で、前年同月比94万人の減少となったこと、15年3月期が赤字決算となったことを発表した[22]。
- 7月31日 - 4~6月期の連結決算は、売上高が前年同期比7%減、営業利益が同88%減となり、営業損益は、前年同期の39億1000万円の黒字から一転、4億3000万円の赤字になる[要出典]。
- 2016年5月6日 - 4月時点の進研ゼミ会員は243万人と、前年同期から28万人減った。16年3月期の連結最終損益を、従来予想の38億円の黒字から82億円の赤字(前期は107億円の赤字)に下方修正。10-3月期(下期)の連結最終損益も、従来予想の13.7億円の赤字から、133億円の赤字に下方修正し、赤字幅が拡大した(同社プレスリリース)。
- 2017年5月の発表では、進研ゼミ会員は前年同期から2万人増と、僅かながら増加に転じた。同年4~6月期の連結決算の営業利益は12億円の黒字に転換した(同上)。
政府の対応
[編集]- 2014年7月10日、今回の事態を重く見た経済産業省はベネッセコーポレーションに対して「個人情報保護法に基づき、本件に係る事実関係などについての詳細を7月17日までに書面にて提出するよう」報告徴収指示を出したことを発表した[23]。
- 7月11日、茂木敏充経済産業大臣は閣議後の記者会見で全国学習塾協会や日本通信販売協会など業界団体に対して同種事案の再発防止策を求めることを明らかにした[24]。同じく7月11日の閣議後の記者会見で菅義偉内閣官房長官が「個人情報保護法改正も検討せねばならない」と語っている[25]。
- 7月11日、下村博文文部科学大臣は定例記者会見の席上で「経産省において、個人情報保護法に基づく報告徴収等を踏まえた対応が行われるとともに、警察による捜査も開始されているものと承知」しているとし、教育委員会等に個人情報の取扱いに関する一定の指針を示すことはないが、検証していきたいと答えるに留めた[26]。
- 7月15日、経済産業省は全国学習塾協会、全国学習塾協同組合、日本通信販売協会の3つの団体の業界団体に対し、個人情報の適切な管理を強化することなどを要請した[27]。
- 7月17日、経済産業省は情報を名簿業者から購入していたジャストシステムから、事情聴取する方針を決めた[28]。
- 7月18日、経済産業省はジャストシステムに対し、個人情報の管理体制を強化するよう要請し、新たに講じる対策の内容の報告を求めた[29]。
- 7月22日、国民生活センターは国民に対し、調査を装った詐欺に注意するよう呼びかけた[30]。
- 総務省は7月24日付で政府全省庁と独立行政法人に対して、『保有個人情報の徹底管理』を要請したことを新藤義孝総務大臣が7月25日の定例記者会見の席にて発表した[31]。
- 7月25日、経済産業省はベネッセから流出した可能性のある個人情報を購入したECCに、情報の入手先が適正かなどについて確認を徹底するよう求めた[32]。
裁判
[編集]刑事訴訟
[編集]個人情報を持ち出したとして、不正競争防止法違反(営業秘密の複製、開示)の罪状に問われた、システムエンジニアに対する刑事裁判が、東京地方裁判所で行われた。弁護側は、流出した個人情報は「営業秘密に当たらない」として、無罪を主張した。
2016年(平成28年)3月29日、東京地方裁判所の判決で、ベネッセ側が機密保持対策を行っていたことを理由に、弁護側の主張を退け、被告人に懲役3年6ヵ月、罰金300万円と、執行猶予無しの実刑判決を言い渡した。弁護側は、即日東京高等裁判所へ控訴した[33]。
2017年(平成29年)3月21日、東京高等裁判所の判決で、ベネッセ側の不備が認定され、被告人を懲役3年6カ月、罰金300万円とした一審判決を破棄し、懲役2年6カ月、罰金300万円に減刑した。
民事訴訟
[編集]個人情報流出による損害賠償訴訟
[編集]2つの弁護団が結成され、複数の集団訴訟が提起されている。
このうち、2018年6月20日の東京地方裁判所の判決(裁判長:朝倉佳秀(市原義孝裁判長が代読))では、「慰謝料が発生するほどの精神的苦痛があるとは認められない」として請求が棄却された[34][35]。 他方、2018年12月27日の東京地方裁判所の判決では、グループ会社のシンフォームに対し、1人当たり3300円の賠償を命じた[36][37]。
個人でも訴訟があった。14年6月下旬までに自分と子どもの個人情報が流出したことで精神的苦痛を受けたとして、男性が慰謝料10万円を求めた訴訟は、2015年神戸地裁姫路支部と2016年大阪高裁でいずれも請求を棄却されたが、2017年最高裁第2小法廷で審理が差し戻され、2019年11月20日、大阪高裁は、プライバシーの侵害を認め千円の支払いを命じた[38]。判決理由では、流出情報の全てを回収、抹消することは不可能だと指摘、「流出は男性に精神的苦痛を生じさせ、流出先が不明なことは不安感を増幅させる」とし、私生活上の平穏を害したと判断した[38]。
株主代表訴訟
[編集]ベネッセコーポレーションの顧客情報流出事件の影響により、持株会社のベネッセホールディングスが巨額の損失を出したとして、株主が、原田泳幸元会長や当時の役員らに対し、総額260億円を同社に賠償するよう求めた株主代表訴訟を岡山地方裁判所に提起したが、2018年9月12日に請求が棄却された[39][40]。
出典
[編集]- ^ “最大2070万件の顧客情報流出=他社のダイレクトメールで発覚-ベネッセ”. 時事通信. (2024年7月9日). オリジナルの2014年7月14日時点におけるアーカイブ。
- ^ “ベネッセHD、顧客情報漏洩 最大2070万件”. 日本経済新聞. (2014年7月9日)
- ^ “ベネッセHD、情報漏洩で取締役2人が辞任へ 社長の責任は否定”. 日本経済新聞. (2014年7月9日)
- ^ “別ルートの名簿業者も取引 警視庁、実態解明へ”. 琉球新報. (2014年7月12日). オリジナルの2014年7月14日時点におけるアーカイブ。
- ^ “情報流出で調査委=トップに弁護士-ベネッセ”. 時事通信. (2014年7月15日). オリジナルの2014年7月17日時点におけるアーカイブ。
- ^ “流出データを10社が入手か ベネッセ漏洩、3ルートで拡散”. 日本経済新聞. (2014年7月17日)
- ^ “ベネッセ流出:39歳SE逮捕 顧客情報複製疑い 警視庁”. 毎日新聞. (2014年7月17日). オリジナルの2014年7月17日時点におけるアーカイブ。
- ^ “ベネッセ社長、報告書を提出 情報流出で経産相に”. 朝日新聞. (2014年7月17日). オリジナルの2014年7月18日時点におけるアーカイブ。
- ^ “ベネッセ、情報漏洩で顧客に200億円分の補償”. 日本経済新聞 (日本経済新聞社). (2014年7月17日) 2014年7月23日閲覧。
- ^ “ECC、データ使用のDM発送約2万件と発表”. 産経新聞. (2014年7月18日). オリジナルの2014年11月29日時点におけるアーカイブ。
- ^ “ベネッセの情報 ECCが2万7000件余利用か”. NHK. (7月18日). オリジナルの2014年7月19日時点におけるアーカイブ。
- ^ “ベネッセ情報流出、売却先の名簿業者事務所捜索”. 読売新聞. (2014年7月18日). オリジナルの2014年7月18日時点におけるアーカイブ。
- ^ “ベネッセが会見 流出情報さらに拡大も”. NHK. (2014年7月22日). オリジナルの2014年7月22日時点におけるアーカイブ。
- ^ “「鉄道博物館 2014 夏のイベント」の一部中止について” (PDF). 鉄道博物館公式サイト (2014年7月10日). 2014年7月15日時点のオリジナルよりアーカイブ。2024年11月30日閲覧。
- ^ “ベネッセ:子どもイベント秋まで中止…個人情報収集の根幹”. 毎日新聞. (2014年7月12日). オリジナルの2014年7月15日時点におけるアーカイブ。
- ^ “ベネッセ、情報漏洩3504万件に 補償は500円の金券 情報セキュリティー企業と共同出資会社”. 日本経済新聞. (2014年9月10日) 2014年9月19日閲覧。
- ^ “ベネッセ情報漏えい:名簿業者を家宅捜索 不正入手認識か”. 毎日新聞. (2014年10月29日). オリジナルの2014年10月29日時点におけるアーカイブ。
- ^ “ベネッセ社長「鍵かけても開けられる」 顧客情報流出”. 朝日新聞. (2014年7月12日). オリジナルの2015年6月15日時点におけるアーカイブ。
- ^ JIPDEC. “株式会社ベネッセコーポレーションへの措置通知について”. 2014年11月26日時点のオリジナルよりアーカイブ。2024年11月30日閲覧。
- ^ “ベネッセ:プライバシーマーク取り消し”. 毎日新聞. (2014年11月26日)
- ^ 大豆生田 崇志 (2014年11月26日). “ベネッセのプライバシーマーク取り消し、JIPDEC”. ITPro (日経BP) 2017年5月22日閲覧。
- ^ “ベネッセHD、107億円の赤字・会員94万人減少”. ASCII(KADOKAWA ASCII Research Laboratories, Inc.). (2015年5月7日) 2019年11月21日閲覧。
- ^ “(株)ベネッセコーポレーションに対して 個人情報保護法に基づく報告徴収を要請しました” (PDF). 経済産業省プレスリリース (2014年7月10日). 2014年7月22日時点のオリジナルよりアーカイブ。2024年11月30日閲覧。
- ^ “経産相、ベネッセ問題で業界団体に再発防止を要請 菅官房長官らも対応検討”. 産経新聞. オリジナルの2014年7月11日時点におけるアーカイブ。 2014年7月11日閲覧。
- ^ “個人情報保護法の改正「検討する必要がある」 菅長官”. 産経新聞. オリジナルの2014年7月11日時点におけるアーカイブ。 2014年7月11日閲覧。
- ^ “下村博文文部科学大臣記者会見録”. 文部科学省ホームページ (2014年7月11日). 2015年10月1日時点のオリジナルよりアーカイブ。2024年11月30日閲覧。
- ^ “学習塾などに情報管理の強化要請 情報流出問題で”. NHK. (2014年7月15日). オリジナルの2014年7月21日時点におけるアーカイブ。
- ^ “ジャストシステム聴取へ=ベネッセ個人情報の購入めぐり-経産省”. 時事通信. (2014年7月17日). オリジナルの2014年7月29日時点におけるアーカイブ。
- ^ “「情報の出所確認不十分」ジャストシステムに要請”. NHK. (2014年7月18日). オリジナルの2014年7月19日時点におけるアーカイブ。
- ^ “株式会社ベネッセコーポレーションにおける個人情報漏えいに便乗した不審な勧誘にご注意ください!”. 発表情報. 国民生活センター (2014年7月22日). 2014年7月23日閲覧。
- ^ “全省庁に個人情報の管理徹底を要請 ベネッセ問題受け総務相”. 産経新聞. (2014年7月25日). オリジナルの2014年7月25日時点におけるアーカイブ。
- ^ “ECCに個人情報入手先の確認徹底を要請”. NHK. (2014年7月25日). オリジナルの2014年7月26日時点におけるアーカイブ。
- ^ “元SEに懲役3年6月=ベネッセ顧客情報流出—東京地裁支部” (日本語). ウォール・ストリート・ジャーナル. (2016年3月29日). オリジナルの2016年3月29日時点におけるアーカイブ。 2016年3月29日閲覧。
- ^ “個人情報流出「慰謝料生じず」 ベネッセ事件で東京地裁、賠償請求退ける”. 日本経済新聞. (2018年6月20日)
- ^ “ベネッセ側の賠償責任を否定 情報流出訴訟で地裁判決”. 朝日新聞. (2018年6月20日). オリジナルの2018年6月20日時点におけるアーカイブ。
- ^ “ベネッセ側に賠償命令 情報流出、1人当たり3300円”. 東京新聞. (2018年12月28日). オリジナルの2018年12月28日時点におけるアーカイブ。
- ^ “ベネッセ情報流出で賠償命令=グループ会社に150万円-東京地裁”. 時事通信. (2018年12月27日) [リンク切れ]
- ^ a b “ベネッセに千円賠償命令 顧客情報流出、差し戻し審”. 日本経済新聞. (2019年11月21日) 2019年11月21日閲覧。
- ^ “ベネッセ株主の請求棄却 顧客情報流出事件で”. 産経新聞. (2018年9月12日). オリジナルの2019年3月27日時点におけるアーカイブ。
- ^ “顧客情報流出 株主代表訴訟 ベネッセ株主の請求棄却”. 毎日新聞. (2018年9月12日). オリジナルの2018年9月13日時点におけるアーカイブ。