26 コンプライアンス, 情報セキュリティ, 個人情報保護法, その他

情報流出事件に関する報告書を公開

ベネッセホールディングスは2014年9月25日情報流出事件に関する報告書を公表した。対策の柱は緊急対策の実施とＩＴガバナンス（企業が情報システムの導入・運用を組織的に管理する仕組み　詳細は　e-Words [ITガバナンス]　を参照）の強化、外部監査機関の設置である。

ベネッセの情報流出事件とは

今年7月にベネッセコーポレーションから大量の顧客情報が流出したことが発覚した。原因はベネッセのグループ会社（シンフォーム）から業務委託を受けた会社の社員が、顧客情報が保存されたデータベースにアクセスしその情報を外部の名簿業者に売却したことである。
この事件は過去最大規模の情報流出であったことから社会に大きな衝撃を与えた。企業における情報セキュリティー対策の重要性が再認識されて、経済産業省も「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を改定する動きを見せている。

緊急対策の実施

まずアクセス権限の見直しを行い、必要最小限度の担当者にしか付与しない、パスワードの強化などを行う。情報流出事件は業務委託を受けた会社の社員が業務とは無関係の顧客情報を保存したＤＢにアクセスできたことが原因で発生しており、それを踏まえての対策と思われる。
そしてダウンロード管理者の設置、大量データをダウンロードする場合のアラート（警告）機能、アクセスログの管理強化を行い、情報流出の範囲を限定・流出した際の早期発見を出来るようにする。
さらに業務端末に外部記録媒体の接続を不可能にし、執務室に私物の電子機器の持込の禁止、監視カメラの設置を行う。今回の情報流出はスマートフォンを業務端末に接続して流出させていたことから、これらの対策を行い情報流出ルートの根絶を図る狙いがみえる。

そのほかの対策

グループ全体のＩＴガバナンスの強化を行う。
まず全てのＤＢをベネッセホールディングス本社が一元管理する。
そしてこれまでグループ会社のシンフォームが行っていた保守運用業務を新たにセキュリティー会社と合弁で設立した会社が行う。今回の情報流出の原因となったデータベースの保守運用の外部委託を行わないようにする。
さらに外部監査機関による定期的な監査を行うとのことである。

ベネッセは事業を運営していくのに不可欠な消費者からの信頼を失い、株価も大きく下落した。今回発表された対策を実行していくことで失った信頼の回復に繋がるか注目される。

他の企業に求められる対応

今回の事件により情報セキュリティー強化の重要性が改めて浮き彫りになった。今回のような情報流出が起こると会社規模によっては存続すら難しくなるほどの損害が生じてしまう。
ベネッセが公表した対策は流出事件を踏まえてしっかりとした内容になっているので、他の企業も今回のベネッセの対策を参考に情報セキュリティーの強化を図るべきである。
またまもなく経済産業省の個人情報保護に関するガイドラインの改訂版が公表されるはずなので、そちらも注視していきたい。

新着情報

解説動画
- 江嵜宗利弁護士
【無料】新たなステージに入ったNFTビジネス～Web3.0の最新動向と法的論点の解説～
ＩＴ法務IT
終了
視聴時間1時間15分

業務効率化
ContractS CLM公式資料ダウンロード

ニュース
会社に対する「就労証明書」の作成強要未遂に無罪判決ー大阪高裁2025.4.28
労務法務訴訟対応労働法全般
NEW
　会社に就労証明書の作成を求めたことで、強要未遂の罪に問われた労働組合員に対する差し戻し審で大...

弁護士
原内　直哉弁護士
コンプライアンス債権回収・与信管理訴訟対応
インテンス法律事務所
〒162-0814
東京都新宿区新小川町４番７号アオヤギビル３階

業務効率化
Mercator® by Citco公式資料ダウンロード

解説動画
- 斎藤誠(三井住友信託銀行株式会社ガバナンスコンサルティング部部長（法務管掌）)
- 斉藤航(株式会社ブイキューブバーチャル株主総会プロダクトマーケティングマネージャー)
【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦～インタラクティブなバーチャル株主総会とは～
終了
視聴時間1時間8分