ベネッセの情報漏えいをまとめてみた。

2014年7月9日、ベネッセホールディングスベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。

(1) 公式発表と概要

ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。

ベネッセホールディングス(以下ベネッセHDと表記)
ベネッセコーポレーション
ジャストシステム
文献社
ECC
LAC
概要を図にまとめると次の通り。

f:id:Kango:20140812113623p:image

(2) 被害状況

漏えい件数
漏えいした情報
漏えいしたサービス
漏えいしたWebサービス
漏えいしたイベント・関連事業
影響を確認中・受けていないベネッセのサービス・イベント
ベネッセ事業影響

(3) 発端

(4) 原因

(5) 対応

ベネッセHD・コーポレーションの対応
政府の対応
総務省の対応
経済産業省の対応
警察(警視庁)の対応
JIPDECの対応
文献社の対応

(6) インシデントタイムライン

日時出来事
2012年4月男性がシンフォームの事業所で勤務を開始
2013年7月男性がスマフォ充電を行おうと貸与PCに接続した際にデータ移行が可能な事を発見
 男性が顧客情報データベースの不正持ち出しを始める
 男性がsafetyに電話をかけ購入に前向きであったため売却を決定
2013年8月頃男性が都内の名簿業者へ売却
2013年11月ごろfRee busiNessが千葉県の名簿業者から名簿を購入。
1月頃?パンワールドが同業他社より(ベネッセより漏えいした)名簿を入手
1月頃パンワールドが文献社へ子供の名簿が大量に手に入ったと連絡
 ジャストシステムが文献社へ小中学生の名簿を依頼
2〜3月頃文献社がジャストシステムへ名簿約160万件を販売
2〜4月頃ECCが名簿業者から約7万5000件を購入
2〜5月頃ECCが約6万6000件のDMを発送
4月頃別の名簿業者が約800万件の子供の名簿を入手。
5月中旬文献社がパンワールドから名簿を購入*28
5月21日文献社がジャストシステムへ(ベネッセより漏えいした)名簿約257万件を販売*29
6月17日男性が顧客情報をダウンロードして保存し複製を行った疑い
6月26日以降Twitter上でスマイルゼミというDMが送られるといった報告が多数
6月26日ベネッセへ登録した情報に対してDMやセールス電話が来るとの問い合わせが急増
6月27日ベネッセHD会長兼社長に原田氏が就任
 問合せ急増を受けベネッセHD会長兼社長へ報告。
 ベネッセコーポレーション社長の指示により全面調査を開始。
 男性が約2千万件の顧客情報をダウンロード
6月28日ベネッセに緊急対策本部設置。
 ベネッセが調査会社へ調査を依頼
6月30日ベネッセ経済産業省へ状況報告と対応について相談
 警視庁へ状況報告と対応について相談
7月4日調査会社がベネッセ個人情報を販売する名簿業者を把握、及び名簿を入手
7月7日朝ベネッセの保有する顧客情報とのマッチングを実施
7月7日ベネッセの社内調査により顧客情報データベースから情報が持ち出されていたこと判明
 警視庁が捜査を開始。
 ラックが顧客情報データベース脆弱性調査を開始*30
7月8日ベネッセがIT事業者、及び名簿業者へ名簿の利用・販売の中止を求める内容証明郵便を発送。
7月9日ベネッセが情報漏えいについて発表。同日記者会見
7月10日経済産業省ベネッセ個人情報保護法に基づく報告を要請。
 IT事業者がジャストシステムであると複数のメディア報道
 ジャストシステム報道を受けてコメントを発表
 JIPDECがベネッセコーポレーションの情報漏えいを受けて事実確認と対処を行うことを発表
 再委託元企業が不正発覚を受けて男性を解雇
7月11日ベネッセHDが新聞各社の朝刊にお詫び広告を掲載*31
 ジャストシステムが文献社より取得した名簿の削除を決定
 ベネッセジャストシステムのリリースにおける同社のデータ削除についてコメントを発表
7月12日ベネッセHDが秋ごろまで子供向け主催イベントを中止することを決定。*32
 警視庁生活経済課が名簿業者へ任意聴取していたと報道
7月13日ベネッセコーポレーションが漏えいした顧客名簿が他にないかデータベースの調査を開始したと報道*33
7月14日警視庁が男性へ任意の聴取をしていたと報道
 男性が任意聴取で情報漏えいの関与を認める供述したと報道
 警視庁が下請け先男性へ一両日中に逮捕状請求の方針との報道
7月15日ベネッセコーポレーションが再発防止に向けた第三者委員会を発足。*34
 経済産業省が業界3団体へ再発防止策を要請
 ベネッセ警視庁告訴、同日受理*35 *36
 大阪市名簿業者ECCに販売した名簿にベネッセのデータが含まれていたと連絡
7月16日文献社が取引先を対象としたコメントを発表
7月17日警視庁が男性の逮捕状を請求
 ベネッセHDが経済産業省へ報告書を提出
 警視庁が男性の自宅を家宅捜索
 警視庁が男性を不正競争防止法違反(営業秘密の複製)で逮捕
 ベネッセが男性逮捕を受け記者会見
 ベネッセコーポレーションが今後の対応として顧客サポート部門の設置と補償対応の検討を発表
 官房長官個人情報保護法の改正案を来年通常国会に提出方針であることを発表。*37
 警視庁が男性の肩書派遣社員から委託社員へ変更したと報道*38
7月18日ECCがDM発送に使った名簿にベネッセの漏えいデータが含まれていたと発表。
 警視庁がsafetyを家宅捜索
7月19日警視庁が男性を不正競争防止法違反容疑で送検
7月21日ベネッセコーポレーションが漏えい情報の鑑定結果を発表
7月22日ベネッセHDが事故調査委員会の構成メンバーを決定したことを発表
 ベネッセの情報漏えいに関係した不審電話が確認されたと注意喚起
7月24日総務省が全省庁、独立行政法人に対して個人情報の管理状況点検を要請
7月31日ベネッセHDが情報漏えいの対応に伴う特別損失の計上を発表
 ベネッセHDの福島保副会長と明田英治最高情報責任者が辞任
8月6日ジャストシステムが文献社より購入した全データを削除
8月7日ジャストシステムがデータ削除について発表
 東京地検立川支部が男性を起訴
8月11日警視庁が男性を不正競争防止法違反の容疑で再逮捕
9月17日ベネッセHDが経済産業省へ再発防止策を報告

「グループ社員以外の内部者」に関する情報

逮捕された男性の情報まとめ
報道・発表されている情報

「IT事業者」に関する情報

(1) ジャストシステム

新潟県十日町市の小学3年生の男児(8)宅には、2週間ほど前に、タブレットを使った通信教育のダイレクトメール(DM)が見知らぬ会社から届いた。

(中略)

埼玉県川口市の主婦(33)の元にも、同じ業者からDMが届いた。B4サイズの水色の封筒。小学2年の長女のために2年前に半年間だけ進研ゼミを利用した。変な勧誘などが来ると困ると思い、その時、子どもの名前を一文字変えて登録。DMは、実在しないその名前宛てだった。

http://digital.asahi.com/articles/ASG796FQ5G79UTIL03P.html?iref=comkiji_txt_end_s_kjid_ASG796FQ5G79UTIL03P
ジャストシステムが購入した名簿

(2) 塾(詳細不明)

(3) ECC

ECCが購入した名簿

「名簿業者」に関する情報

(1) 文献社

f:id:Kango:20140710014841p:image:w450

うちの情報については、文献社(データーベース事業者:いわゆる名簿屋)という会社から入手した、と回答がスマイルゼミからありました。住所のラベルのバーコード下の記号を読み上げると、スマイルゼミがどこから入手したか電話受付係の女性が答えてくれました。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail.php;_ylt=A3xTwsWOUr1TD08A1bKL.vN7?page=1&qid=13131143853
文献社が購入した名簿

(2) パンワールド

f:id:Kango:20140710014842p:image:w450

(3) safety(男性の売却先の名簿業者

f:id:Kango:20140718230619p:image:w450

(4) fRee busiNess

f:id:Kango:20140718230620p:image:w450

別の名簿業者

ベネッセHD・ベネッセコーポレーションからのお詫び状

情報漏えいに便乗する不審電話

謝辞

このまとめは次の方より頂いた情報を元に修正・追記を行っています。ありがとうございます!

関連情報

更新履歴

*1ベネッセが業務委託先の元社員逮捕を発表…謝罪金に200億円を準備,resemom,2014/07/17アクセス:魚拓

*2ベネッセ顧客情報流出 39歳の派遣SE逮捕,スポニチ,2014/07/17アクセス:魚拓

*3SEの男、未成年を中心に情報持ち出しか,読売テレビ,2014/07/17アクセス:魚拓

*4【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯,ITpro,2014/07/10アクセス:魚拓

*5ベネッセ原田社長、補償「金券など過去の事例も参照」 ,日本経緯剤新聞,2014/07/17アクセス:魚拓

*6ベネッセ流出件数、さらに増加の可能性 カード情報は「未確認」,SankeiBiz,2014/07/24アクセス:魚拓

*7通販データは500万件、カード情報含む可能性,MSN産経,2014/07/24アクセス:魚拓

*8ベネッセ情報 八木山動物公園行事でも流出か,河北新法,2014/07/13アクセス:魚拓

*9京都市動物園関連分も流出か ベネッセ収集個人情報,京都新聞,2014/07/24アクセス:魚拓

*10ベネッセ顧客情報流出…南会津と檜枝岐中学生分,読売新聞,2014/07/13アクセス:魚拓

*11イベント参加者の情報も本格調査,NHK,2014/07/13アクセス:魚拓

*12ベネッセ導入の自治体 確認急ぐ,NHK,2014/07/12アクセス:魚拓

*13ベネッセ受注の全国学力テスト「情報流出ない」 下村文科相,MSN産経,2014/07/12アクセス:魚拓

*14ベネッセ情報流出:さらに波紋…横浜の2動物園行事からも,毎日新聞,2014/07/12アクセス:魚拓

*15【ベネッセ情報漏洩】動物園イベントでの情報の流出なし 横浜市,SankeiBiz,2014/07/14アクセス:魚拓

*16ベネッセ退会申し出が約3000件に,NHK,2014/07/17アクセス:魚拓

*17ベネッセの情報流出、社外の人物か 利用者は不信あらわ,朝日新聞,2014/07/10アクセス:魚拓

*18「鉄道博物館 2014 夏のイベント」の一部中止について ,鉄道博物館,2014/07/11アクセス

*19ベネッセ、760万件情報漏洩 最大2070万件 社外関係者、関与か,日本経緯剤新聞,2014/07/10アクセス:魚拓

*20ベネッセ 再発防止策など国に報告へ,NHK,2014/07/17アクセス:魚拓

*21ベネッセが再発防止策を報告,NHK,2014/09/17アクセス:魚拓

*22情報利用のIT会社から事情聞く方針,NHK,2014/07/18アクセス:魚拓

*23ベネッセ流出:経産省 塾などの業界3団体に再発防止要請,毎日新聞,2014/07/16アクセス:魚拓

*24経産省、名簿業者を聞き取り調査へ,Sankeibiz,2014/09/17アクセス:魚拓

*25ベネッセ情報流出で捜査開始=不正競争防止法違反容疑―被害相談受理・警視庁,時事通信,2014/07/10アクセス:魚拓

*26名簿業者から警視庁が任意聴取,MSN産経,2014/07/13アクセス:魚拓

*27ベネッセ子会社を任意聴取 警視庁、流出の経緯確認,2014/07/14アクセス:魚拓

*28ジャスト社、顧客情報DMで使用 ベネッセ漏えい問題,共同通信,2014/07/11アクセス:魚拓

*29ベネッセ漏洩、複数の名簿業者を任意聴取 警視庁,日本経済新聞,2014/07/13アクセス

*30ベネッセが容疑者逮捕を受け緊急会見、お詫び対応に200億円,ITpro,2014/07/17アクセス:魚拓

*31新聞朝刊に謝罪広告「深くおわび」,MSN産経,2014/07/12アクセス:魚拓

*32ベネッセ:子どもイベント秋まで中止…個人情報収集の根幹,毎日新聞,2014/07/13アクセス:魚拓

*33苦情殺到、5万件 全データベースを調査,MSN産経,2014/07/14アクセス:魚拓

*34ベネッセ、第三者委発足へ 情報流出で経営に大打撃 企業統治、改善策を助言,産経新聞,2014/07/15アクセス:魚拓

*35ベネッセからの告訴状受理、派遣社員を週内にも逮捕へ,TBS,2014/07/17アクセス:魚拓

*36ベネッセからの告訴状受理 本格捜査へ,NHK,2014/07/16アクセス:魚拓

*37個人情報改正案:来年国会に提出…官房長官方針,毎日新聞,2014/07/17アクセス:魚拓

*38容疑者の肩書を委託社員に訂正 ベネッセ情報流出で警視庁,共同通信,2014/07/18アクセス:魚拓

*39ベネッセ漏洩、派遣社員を逮捕へ 秘密複製の疑い,日本経済新聞,2014/07/17アクセス:魚拓

*40顧客DB開発に関与=知識悪用し防止措置解除−派遣SE、逮捕状請求へ・警視庁,時事通信,2014/07/17アクセス:魚拓

*41原田泳幸氏、強い調子「社員でない」根拠示さず,読売新聞,2014/07/10アクセス:魚拓

*42情報漏えい、記憶媒体にコピーか 警視庁、実態解明へ,共同通信,2014/07/11アクセス:魚拓

*43ベネッセ情報流出:持ち出し直後に売却 シンフォームから,毎日新聞,2014/07/13アクセス:魚拓

*44ベネッセ情報流出 貸与PC対策に不備、記録媒体接続でも作動,産経新聞,2014/07/14アクセス:魚拓

*45再委託先の派遣社員が関与か ベネッセ漏洩問題,日本経済新聞,2014/07/13アクセス

*46昨年末に下請け先がコピー 履歴残る 業務外目的の疑い、刑事告訴へ,MSN産経,2014/07/12アクセス:魚拓

*47ベネッセ流出、再委託先従業員持ち出しか 顧客DB保守,朝日新聞,2014/07/13アクセス:魚拓

*48ベネッセ情報漏えい:システムエンジニアら任意で事情聴取,毎日新聞,2014/07/14アクセス:魚拓

*49ベネッセ流出:売却SE 特定名簿業者とネットで受け渡し,毎日新聞,2014/07/16アクセス:魚拓

*50SE「不正取得でない」…数百万円以上の利益か,読売新聞,2014/07/16アクセス:魚拓

*51「イベントで集め不要に」名簿業者にうその説明,NHK,2014/07/18アクセス:魚拓

*52派遣社員「名簿は金になると思った」,NHK,2014/07/15アクセス:魚拓

*53ベネッセの情報流出 派遣社員「名簿業者に持ち掛けた」,スポニチ,2014/07/15アクセス:魚拓

*54「数百万円で売却」発覚直前まで複写 近く逮捕,MSN産経,2014/07/16アクセス:魚拓

*55ベネッの顧客情報持ち出し複製 派遣社員「数百万で売った」,スポニチ,2014/07/16アクセス:魚拓

*56ベネッセ顧客情報流出で派遣SEの39歳男逮捕,スポーツ報知,2014/07/17アクセス:魚拓

*57ベネッセ流出 39歳派遣社員を逮捕 情報複製疑い 延べ1億件売る?,東京新聞,2014/07/18アクセス:魚拓

*58大量の子供情報SEの記録媒体に…ベネッセ流出,読売新聞,2014/07/15アクセス:魚拓

*59ベネッセ顧客情報、6月まで持ち出しか 委託先のSE,朝日新聞,2014/07/16アクセス:魚拓

*60ベネッセ情報流出 派遣社員を立件へ 警視庁,NHK,2014/07/16アクセス:魚拓

*61ベネッセ名簿売り生活費に、SEの逮捕状請求へ,読売新聞,2014/07/17アクセス:魚拓

*62ベネッセ流出:再委託先SE逮捕へ 情報売却の疑い,毎日新聞,2014/07/14アクセス:魚拓

*63ベネッセ流出、SEの派遣社員を立件へ 「名簿がカネになると思った」 関与認める,産経新聞,2014/07/15アクセス:魚拓

*64派遣SE、逮捕へ…提出情報ベネッセDBと一致,読売新聞,2014/07/16アクセス:魚拓

*65提出記録媒体に顧客情報2000万件 派遣社員、業務装い大胆犯行,MSN産経,2014/07/16アクセス:魚拓

*66派遣社員の男、17日逮捕へ ベネッセ情報流出,朝日新聞,2014/07/17アクセス:魚拓

*67ベネッセ流出発覚後も2千万件持ち出し 逮捕の元SE,朝日新聞,2014/07/18アクセス:魚拓

*68ベネッセ情報流出 うその説明して売却か,NHK,2014/07/19アクセス:魚拓

*69「3種類のID入力」供述 権限悪用か,NHK,2014/07/24アクセス:魚拓

*70「複数の名簿業者に買い取り断られた」,NHK,2014/07/24アクセス:魚拓

*71ベネッセ顧客情報、入手先「深く追及されず」,読売新聞,2014/07/24アクセス:魚拓

*72ベネッセ流出:15万〜35万円で名簿売却,毎日新聞,2014/07/24アクセス:魚拓

*73逮捕の元SE、名簿業者に虚偽説明か ベネッセ漏洩,日本経済新聞,2014/07/24アクセス:魚拓

*74ベネッセHD:情報流出 持ち出しさらに2000万件 容疑者再逮捕へ,毎日新聞,2014/08/02アクセス

*75SE、7日にも再逮捕 保存の日付一致、出所も偽装,MSN産経,2014/08/02アクセス:魚拓

*76さらに名簿業者2社に売却か=元SE供述、情報14社に―ベネッセ漏えい・警視庁,時事通信,2014/08/12アクセス:魚拓

*77ベネッセ流出、元SEを起訴 「複数の業者に売った」,朝日新聞,2014/08/12アクセス:魚拓

*78“暗黙の了解”で情報拡散 SE「特定おそれ情報選んだ」名簿業者「出所は詮索せず」,MSN産経,2014/08/12アクセス:魚拓

*79情報持ち出し2億件余か 再逮捕,NHK,2014/08/12アクセス:魚拓

*80ベネッセ顧客情報漏えい 3つの名簿業者に2億件以上の情報売却か,FNN,2014/08/12アクセス:魚拓

*81ベネッセが顧客情報漏洩を発表 最大2070万件流出も,MSN産経,2014/07/10アクセス:魚拓

*82最大2070万件流出=通信教育顧客情報−進研ゼミのベネッセ,時事通信,2014/07/10アクセス:魚拓

*83ベネッセ:顧客情報2070万件流出か 役員引責辞任も,毎日新聞,2014/07/10アクセス:魚拓

*84面会要請を拒絶したという事実はなく、協議には応じる,ITPro,2014/07/10アクセス:魚拓

*85ジャストシステム、名簿業者から購入した全データを削除 ベネッセ流出問題,ITMedia,2014/08/12アクセス:魚拓

*86ジャストシステムに200万件=都内業者からベネッセ情報入手,時事通信,2014/07/10アクセス:魚拓

*87「データ削除はやめて」ベネッセが書面,NHK,2014/07/13アクセス:魚拓

*88ベネッセ:ジャスト社対応を批判…データ削除巡り,毎日新聞,2014/07/14アクセス:魚拓

*89「悪用されないか…」お母さん、漏えいに不安,MSN産経,2014/07/10アクセス:魚拓

*90ベネッセ流出名簿 ECCも購入,東京新聞,2014/07/18アクセス:魚拓

*91ベネッセ流出:ECC2万2000件購入か 高校生にDM,共同通信,2014/07/18アクセス:魚拓

*92名簿業者、出所不明のデータ転売 ベネッセの情報流出,共同通信,2014/07/10アクセス:魚拓

*93ベネッセ情報流出データ 複数の業者にわたり取引,テレビ朝日,2014/07/10アクセス:魚拓

*94ベネッセ流出情報:ジャストシステムが利用,毎日新聞,2014/07/11アクセス:魚拓

*95ベネッセ情報漏えい:顧客DB再委託先から不正持ち出しか,毎日新聞,2014/07/12アクセス:魚拓

*96ネットのデータ共有で売買=容疑者「名簿業者が持ち掛け」―ベネッセ情報漏えい,時事通信,2014/07/20アクセス:魚拓

*97ベネッセ漏えい:情報持ち出し常習 SE、数百万円で売却,毎日新聞,2014/07/16アクセス:魚拓

*98派遣SEきょう逮捕 顧客情報複製の疑い,MSN産経,2014/07/17アクセス:魚拓

*99ベネッセ流出:「ギャンブルや入院費で借金」SE供述,毎日新聞,2014/07/18アクセス:魚拓

*100名簿業者の事務所捜索、ベネッセ流出の認識焦点,読売新聞,2014/07/18アクセス:魚拓

*101名簿売却先の業者を家宅捜索 ベネッセ情報流出,朝日新聞,2014/07/19アクセス:魚拓

*102ベネッセ流出:「名簿、50社に転売」塾や化粧品会社へ,毎日新聞,2014/07/24アクセス:魚拓

*103英会話のECC、ベネッセ漏洩データでのDM発送約2万件と発表,SankeiBiz,2014/07/18アクセス:魚拓

*104ECCもベネッセ漏洩情報利用か 高校生2万7000件分,日本経済新聞,2014/07/18アクセス:魚拓

*105ベネッセ流出:名簿値崩れ 業者「数十社に販売」,毎日新聞,2014/07/18アクセス:魚拓

*106拡散ルートが焦点「素人では門前払い」 流出元から入手業者、刑事罰も,産経新聞,2014/07/15アクセス:魚拓

Kango
Kango

piyokangoの日記。備忘録。