英会話スクールの実力委員会が発表する、大阪、名古屋、横浜、東京、仙台、札幌の英会話スクールランキング!英会話教室を徹底比較し評判や評価を口コミ、体験談で公開!

You are in: Home ベネッセ・ECCの個人情報流出事件を追え! 明らかにされたずさんな情報管理体制 of web site.
明らかにされたずさんな情報管理体制
2015年 1月 16日(金曜日) 00:00

誰が顧客データにアクセスできる権限を持っていたのか?

話を事件報道後に戻そう。ようやく原田社長が記者会見に登場した。マスコミが同社に詰めかけた日、予定通り、スケジュールを消化し、日本に帰国したばかりだった。


「なぜ記者会見を今頃になって行うのか」と問われ、原田社長は、「今朝未明に、警視庁から提供された漏えいデータの解析が終わった。この件をご報告するため、皆さんをお呼びした」と答えた。そして同席していた副社長とシステム本部長とともに、「このたびはお客様、関係者にご迷惑をおかけしたことを、心からお詫び申し上げます」と神妙に頭を下げて見せたのである。

この会見で原田社長が明らかにしたのは、漏れた顧客情報の細かい内訳だった。情報が漏れた総数は、約3000万人分になるという。そして、リストにある申込者、解約者、無料キャンペーン申込者それぞれ500円の金券を郵送することも発表された。総コストは200億円以上になる。

しかし、マスコミの興味は、そうした数字よりも何よりも、「誰が顧客データにアクセスできる権限を持っていたのか」という一点に絞られていた。顧客データベースへのアクセス権限がどうなっているのか。データベースはどのようにして守られるのか。この時点では、警察は全く発表しておらず、それが外部からの不正アクセスによるものなのか。それともソフトバンクの内部関係者が関与しているのかといったことは不透明なままだった。


アクセス権限の実態が完全に判明しなくても、少なくてもアクセス記録(ログ)が残っていれば、この膨大な顧客データに一体誰がアクセスしたのかは突き止められる。ベネッセでは、国内5カ所から社員や委託業者などのシステム・エンジニアとプログラマーが顧客データベースにアクセスできるようになっていた。

顧客データベースを扱った際は、社員ごとに割り振られているIDと、アクセス元を示すIPアドレスがサーバーにアクセスログとして残る仕組みになっていた。そして、漏れた顧客情報は、2014年6月時点のものであることが解析の結果明らかになっている。

「自宅近くの公園で、数十万人顧客データが入ったUSBを偶然拾った」などと供述していた。だが捜査一課が個人情報の記録されたUSBを松崎容疑者の自宅から押収し、分析を勧めた結果、この情報は松崎容疑者が勤めていたシンフォームから流出した可能性が高いことがわかっている。

シンフォームの端末パソコンでデータベースを操作して顧客データを操作して顧客データを引き出し、端末パソコンに装備されているUSB端子などを使って接続し、データを持ち出したのではないかとみられた。サポートセンターの端末からでも顧客データを大量に閲覧することは可能だったのである。