(画面は同社Webサイトより)
ベネッセ社からの大規模な情報流出に関して、その後のリリースや報道などで明らかになった経緯をまとめておきます。
(1)情報の持ち出しにはAndroidスマホが使用された
今回の事件では、情報の持ち出しにAndroidスマホが使用されたといいます。容疑者に貸与されていた業務用ノートパソコンは、USBメモリが使用できないようなロックがかかっていましたが、使用された最近のAndroidスマホは別の方式でPCにマウントできたために、このロックをすり抜けたようです。容疑者は、たまたま充電しようと接続した際にこの抜け道に気付き、情報の持ち出しを計画したといいます。
従来の方式>MSC(Mass Storage Class)※USBメモリで使用されている転送方式
新しい方式>MTP(Media Transfer Protocol)※新たにスマホ用に開発された方式
なお、今回の事件を受けて、多くの企業ではMTP方式での情報の持ち出しをロックするシステムの導入を急いでいるようですが、対応しているセキュリティ製品は少ないようです。
(2)流出件数は1億件超?
容疑者は昨年の7月に上記の抜け道に気付いた直後から、約1年間に渡り何度も個人情報を持ち出したとのことですが、その流出件数の総数はとても莫大な数字になっているようです。
ベネッセ社によると、名簿業者に販売された個人情報は当初発表時の760万件から620万件に減少したとのことです。ただし、逮捕された時点で容疑者のスマートフォンに残っていた個人情報は2260万件とのことですし、過去1年間の間に持ち出された個人情報の総件数は1億件を超えるという報道もあり、詳細はまだよく分かっていません。
(3)名簿業者の購入金額は1件あたり25銭
報道によると、容疑者が15回にわたって販売した個人情報は1019万件で、名簿業者が払った対価は約250万円とのことです。1件あたり25銭(0.25円)ということになります。
(4)5万件以上の苦情・問合せが殺到
ベネッセ社によると、今回の事件公表以来、同社には約5万件の苦情・問い合わせがあり、うち約3000件の退会申し出があったそうです。
(5)お詫び金として200億円を用意したと発表
「お詫び金は考えていない」とした当初の方針を見直し、ベネッセ社は200億円の補償用資金を用意したそうです。2000万人に500円の金券を配ると100億円が見込まれるので、その倍の金額を用意したといいます。確かに金券を送る費用その他を考えるとこのくらいは必要になると思われます。
(6)ジャストシステムとECCにも経産省が事情聴取を実施
ジャストシステムに加えて、株式会社ECC(大阪市北区)も今回流出した個人情報を購入して販促活動に使用したと報道されていますが、この両者に対して、経済産業省は任意で事情を聴取したとのことです。ベネッセ社に対しては個人情報保護法第32条に基づく報告の徴収となっていますが、これらの2社に対しては任意での事情聴取のようです。
(私のコメント)
今回の事件をきっかけとして、「名簿屋」ビジネスに対して、一定の規制がかけられることを希望します。従来の個人情報保護法ではグレーゾーンとして存続してきた訳ですが、もうこんな事件が繰り返されるべきではありません。ちょうど個人情報保護法の見直し作業が行われているところでもあり、何とか取り込んでいただきたいと思います。