こどもちゃれんじ・進研ゼミなどの個人情報が最大約2070万件も漏えいしたことが判明、ベネッセがお詫び

「社内調査により、原因として、弊社グループ社員以外の内部者（データベースにアクセスできる権限を持つ者）による情報漏えいと推定しておりますが、すでに警察の捜査も始まっており、捜査に支障が出る可能性があるため、詳細については、開示を控えさせていただきます」ということで、通信教育サービスなどの情報が約760万件、最大可能性約2070万件も漏えいしたことがベネッセ公式サイトで発表されました。

ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び（お問い合わせ窓口のご案内）
http://www.benesse.co.jp/bcinfo/

漏えいした情報項目は以下の通りです。

・郵便番号
・お客様（お子様とその保護者）のお名前（漢字およびフリガナ）
・ご住所
・電話番号（固定または携帯）
・お子様の生年月日、性別

情報が漏えいしたサービスは以下の通りです。

・こどもちゃれんじ
（こどもちゃれんじbabyを含む）
・進研ゼミ小学講座
・進研ゼミ中学講座
・進研ゼミ高校講座
・難関私立中高一貫講座
・東大特講√T 京大特講√Ｋ
・考える力・プラス中学受験講座
・公立中高一貫校　受検講座
・こどもちゃれんじEnglish
・Worldwide Kids
・BE-GO
・かがく組
・Benesseこども英語教室（直営）
・ベネッセグリムスクール（直営）
・コラショのえいごコース
・Benesseサイエンス教室
・学習教室
・Benesse文章表現力教室
・考える力・プラス講座
・得点力学習DS
・ポケットチャレンジ
・しまじろうミュージック
・EVERES（エベレス）
・いぬのきもち
・ねこのきもち
・たまひよbefa！

なお、漏えいする元になったデータベースにはクレジットカード番号・有効期限、金融機関の口座情報、成績情報などが保存されていなかったので漏えいしておらず、既に対象となるデータベースは停止しており、「対策については、弊社ウェブサイトでも皆様に向けてご説明を継続してまいります」とのことで、さらなる続報待ち状態です。

2014/07/09 19:52追記
NHKは以下のように報じており、既に漏えいした情報はかなり広範囲で使われてしまっているようです。

ベネッセコーポレーションでは先月下旬以降通信教育サービスなどの顧客から「別の会社のダイレクトメールやセールスの電話があった」という問い合わせが相次いだため調査したところ、何者かが顧客情報のデータベースから情報を外部に持ち出したことが分かったということです。

ベネッセコーポレーションの通信教育のサービスなどを利用している子どもや保護者の個人情報が外部に流出したことについて、２人の小学生の娘が通信教育を利用している母親は、「このところダイレクトメールが大量に来るのでおかしいと思っていた。子どもの情報がどう使われるのかと思うと、とても心配です。大きい会社だからこそ、セキュリティーはしっかりしてほしい」と話していました。

2014/07/09 20:20追記
ベネッセの公表したプレスリリースのPDFファイル「お客様情報の漏えいについてお詫びとご説明」によると、2014年6月下旬から、通信教育事業を行うIT事業者からのダイレクトメールが、ベネッセの利用者宛に届き始め、ベネッセ利用者からの問い合わせが急増、ベネッセの「お客様リスト」に基づいて営業活動がなされている懸念が生じたため調査を開始したところ、名簿事業者がベネッセのユーザーの個人情報を含むと思われるリストを扱っているとの情報を入手した、とのこと。さらにベネッセがリストを入手の上、ベネッセが保有しているデータとマッチングさせた結果、ベネッセしか保有していないデータが含まれており、かつ名簿の大半の情報がベネッセのデータと一致したことから、ベネッセが保有するデータが漏えいした可能性が極めて高いと判断し、発覚したそうです。

ここまでの経緯は時系列順に並べると以下のようになり、「ダイレクトメールや電話をかけている企業」と「名簿事業者」には内容証明郵便を送り、名簿の利用・販売中止を伝達済みだそうです。

本件の発覚の経緯は次の通りです。

・6月26日(木)以降、教育関連事業を行うIT事業者が発送したダイレクトメールに関して｢ベネッセのみに登録していた個人情報で、他社からダイレクトメールやセールス電話が来ている。ベネッセから個人情報が漏えいしているのではないか｣というお問い合わせが急増した。

・お問い合わせの急増を受け、6月27日(金)、ベネッセコーポレーション社長・小林、ベネッセホールディングス会長兼社長・原田への報告を行った。同日、ベネッセコーポレーション社長の小林の指示により、全面的な調査を開始した。

・6月28日(土)、緊急対策本部を設置し、ベネッセコーポレーション社長の小林を対策本部長として、原因究明のための調査とお客様への対応の検討を開始した。また同時に調査会社を起用した調査も開始した。週明けの6 月30 日(月)には、経済産業省に状況の報告と今後の対応について相談、同日所轄の警察にも状況の報告と対応について相談した。

・7月4日(金)、弊社が起用した調査会社が、弊社のお客様の個人情報を含むと思われる名簿を販売する名簿事業者を把握し、約822 万件のデータが含まれる名簿を入手した。同日夜から7 日(月)朝にかけて、弊社が保有しているデータとマッチングさせた結果、弊社しか保有していないデータが含まれていることから、弊社が保有するデータが漏えいした可能性が極めて高いと判断し、お客様情報に関するダウンロード履歴等の社内調査を開始した。

・7月7日(月)、お客様情報の漏えいルートについて、社内調査を進める中で、特定のデータベースから何らかの形で外部にお客様情報が持ち出されていたことが判明した。弊社からの相談に基づき、警察が捜査を開始した。

・7月8日(火)、漏えいしたお客様情報の拡散防止と二次被害の防止のため、弊社が把握している｢弊社が保有している個人情報を使って作成された名簿に基づいて、弊社のお客様に対してセールスのダイレクトメールや電話をかけている企業｣および「その名簿を取り扱っている名簿事業者」に対して、名簿の利用・販売の中止を求める書簡(内容証明郵便)を発送した。

2014/07/10 12:40追記

ベネッセから流出したデータをもとにした名簿自体は東京都福生市の名簿業者「文献社」が販売したものであり、その名簿を使ってダイレクトメールを送っていたのは「ジャストシステム」であることが確定しました。

ジャスト社、顧客情報ＤＭで使用　ベネッセ漏えい問題 - 47NEWS（よんななニュース）
http://www.47news.jp/CN/201407/CN2014071001000832.html

この確定情報を受けて、ジャストシステムの株価は急落しています。

2014/07/10 13:04追記

名簿業者「文献社」の公式サイトには「日本で唯一全国規模のチャイルド＆ローティーンに絞ったデータベースを提供」「鮮度が高く独自性をもったデータベースで御社のビジネスをサポートいたします」と書かれています。

名簿業者の老舗 | 株式会社文献社
http://www.bunken-sha.com/

2014/07/10 13:51
ジャストシステムから以下のようなリリースが出ました。

ニュースリリース | 2014.07.10 本日の一部報道につきまして
http://www.justsystems.com/jp/news/2014l/news/j07101.html

本日の一部報道につきまして

　本日の一部報道において、当社もしくは当社と推測される表現を使用して、
株式会社ベネッセコーポレーション（以下、ベネッセコーポレーション）から
流出した個人情報を、当社が悪意を持って利用したかのような報道がなされ
ました。
しかしながら、当社がベネッセコーポレーションから流出した情報と認識
したうえでこれを利用したという事実は一切ございません。

　お客様や取引先の皆様にはご心配をお掛けしておりますが、当社は事業活動
の中でご登録をいただいたお客様にダイレクトメールをお送りする場合や、
外部の事業者に依頼して発送する場合等、いずれの場合においても、適切な
手順や方法をとっております。

2014/07/12 17:30
文献社から購入した「257万3,068件のデータ」を全削除することがジャストシステムから発表されました。

ベネッセコーポレーションの個人情報漏洩の件に対する当社の対応につきまして
http://www.justsystems.com/jp/news/2014l/news/j07111.html

　株式会社ジャストシステムは、2014年5月に株式会社文献社（以下、文献社）より257万3,068件のデータを購入し、 これを利用して2014年6月にダイレクトメールを発送しました。

　当社は、事業活動の中でご登録いただいたお客様にダイレクトメールをお送りする場合や、 外部の事業者に依頼して発送する場合等がありますが、データベースを購入してダイレクトメールを発送する場合には、 その外部事業者との間で当該個人情報は、適法かつ公正に入手したものであることを条件とした契約を締結しております。 今回、文献社からデータを購入するに際しても、同一の条件が含まれる契約を締結した上で、データを入手致しました。
　しかしながら、社内調査により、今回の文献社からの購入において、データの入手経路を確認しながら、最終的にはデータの出所が明らかになっていない状況で契約に至り、購入していたことが判明致しました。したがいまして、当社は、企業としての道義的責任から、2014年5月に文献社より入手した全データを削除することに致しました。 なお、当該お客様情報の使用は、既に7月9日（水）より中止しております。

　当社は、株式会社ベネッセコーポレーション（以下、ベネッセコーポレーション）から流出した情報であると 認識したうえでこれを利用したという事実は一切ございません。また、当社は、文献社から取得したデータが、 ベネッセコーポレーションから流出した情報であるか否かを確認する手段を有していないため、現時点においても、 そのような事実を確認できているわけではありません。
　現在のところ、当社に対して警視庁または経済産業省からの問い合わせ等はありませんが、今後何らかの要請等があれば、真摯に対応させていただく所存です。

　今後は、個人情報の取り扱いについてさらにコンプライアンスを徹底し、 適正な情報管理に努めてまいりたいと存じます。

　このたびは、お客様や取引先の皆様にご心配とご迷惑をお掛けしたことを、 心よりお詫び申し上げます。