通信教育大手「ベネッセホールディングス」の顧客情報760万件が流出した問題で、警視庁はきのう14日(2014年7月)までに、データベース(DB)の保 守・管理を委託していた業者の派遣社員のシステムエンジニア(SE)が関わっていたことを突き止めた。IDをたどったら本人だったという、バカ丸出しの犯行だった。
ずさんなデーターベース管理に企業責任
警視庁の任意聴取にこのSEは「情報を持ち出して売った。金目当てだった」と供述している。昨年末(2013年)、自分に割り当てられたIDでDBに複数回アクセスし、記憶媒体にコピーしたという。警視庁は近く不正競争防止法違反容疑で逮捕状を請求する方針だ。
ベネッセの顧客情報は2000万件を超えるといわれるが、教育関係の企画や催しで集めた子どもの情報が大半だ。子どもの情報は長期にわたって利用できるため需要が多く、盗み出された情報は複数の名簿業者を通じてIT企業などに流れていた。
ベネッセのDB管理は子会社が行っているが、実際は複数の外部業者に再委託されていた。流出に関わったSEはそのひとつの業者の派遣社員だった。DBにアクセスできるIDを与えられており、データのダウンロードはすべて記録されているから、記録をたどれば人物がわかる。
他人のIDを使ってというのならまだ犯罪らしさがあるが、自分のIDでアクセスしたというのだから、どうぞ見つけてくださいといわんばかりである。小学生以下、アホとしかいいようがない。警視庁は流出の経路も調べている。
調査の過程で、ベネッセ主催のイベントに関わった横浜の2つの動物園の情報流出が懸念されたが、きのうまでの調査で流出はなかった。これらのデータは別のDBで管理されていた。
将来にわたって利用価値高い子どもの情報
共同通信の久江雅彦・編集委員は「USB(のメモリチップ)で録ったとすると、かなり初歩的なことで、ベネッセ側にも管理の上で非があります。子どもの情報は万全の管理が必要ですよ」
キャスターの齋藤孝「子どもの情報は1回もれるとその後ズーッと使える。20歳になったら成人式とか、利益があがる。だからこそ管理を徹底しないといけないわけです」
今回はデータを買い取った業者からのダイレクトメールがいろいろ届いたことから流出がわかったが、顧客の志向やトレンドを解析するだけならだれにもわからない。われわれはほとんど裸同然の、危ない日々を送っていると自覚しないといけない。
ずっと使える