2014年07月18日

潟xネッセホールディングスの顧客情報流出について

私個人が,現時点(H26.7.18)で報道等から得た情報は次のとおりです。

・漏えいの発覚は,H26.6.26以降,問い合わせが急増し,6.27に調査開始し,7.7に判明
・漏えいが確定している情報は,約760万件(保有する情報約2070万件)
・漏えいが確定している情報の項目は,郵便番号,子と保護者の名前,住所,電話番号,子の生年月日及び性別
・顧客情報のDB(データベース)の保守管理を委託されていたシンフォーム(ベネッセのグループ企業)が(再)委託した業者のSE(システムエンジニア)が,情報を盗み出し,約250万円で売却。転売された。
・??→パンワールド→??→文献社→ジャストシステムなどのように,約10社の業者に流れた。
・不正取得されたのは、1993年1月〜2013年12月生まれの子どもに関する情報。H25.7〜H26.6月に情報が更新されるたびに繰り返し計15回、延べ1億件以上を持ち出したうえ、都内の名簿業者に計250万円で売っていた。
・自分のIDでDBに接続し,顧客情報を貸与パソコンにダウンロードしたうえ、私有のスマートフォン(スマホ)に転送し(通常のUSBメモリーは使えない設定?,アクセス権限があれば記憶媒体を接続しても作動する仕組みだったとの報道もある),取得した。私物は制限され,手荷物検査もあったようだが,スマートフォンまでは及ばなかったか?
・ベネッセは,当初は金銭賠償は行わないという立場であったが,補償に200億円を用意,「(仮に1人一律500円の金券を2千万人に渡すと100億円になる。)補償の対象者は、重複したデータをまとめるなどしてから決める」
・ベネッセは,顧客に一律に通知を送り,漏えいしたか電話で顧客が確認できるという体制のようである



今後の考えられる対策
・損害賠償
 ベネッセから何らかの補償が行われると思われるが,任意での同様の事案での金券等による賠償では500円から1000円程度が多く,今回も同様の金額が想定される。
 しかし,住所・氏名などの個人情報流出に関する裁判例などからは,5000円+弁護士費用1000円(Yhaoo!BBが不正アクセスで情報が流出したもの)から1万円+弁護士費用5000円(宇治市の住民基本台帳のデータが不正流出したもの)と,少し賠償額が上がる。
 また,今回は,親と子のそれぞれの個人情報に加え,親子関係(オレオレ詐欺などで悪用される恐れあり)や付加情報としてベネッセの顧客情報なので教育に関心があるという属性まで加わっていて,上記裁判例よりも,高額になる可能性がある。なお,ペットの情報誌の購読者の情報も流出したようなので,そのようなものでも,都内でそのようなペットを飼育できるということは,裕福な家庭との推定がきでるので,そうのような属性も加わることになる。
 もっとも,それで,弁護士を雇い,訴訟をしても費用対効果の面で難しい。弁護団も検討されているが,ボランティア・プロボノ活動としてしか,行えない。それだけの要望があるかも現時点では不明。


名簿業者などからの個人情報の削除
 名簿業者などが個人情報を本人の同意なく第三者に提供(販売)する場合には,オプトアウト(本人の申し出があれば提供を停止する措置)になっているはずなので(個人情報保護の関する法律23条),流出した名簿業者に対し,提供停止の申出を行う。
<株式会社文献社顧客相談窓口>
〒501-6004
岐阜県羽島郡岐南町野中1−130
TEL 058−245−6828
FAX 058−248−5567
E−Mail info@bunkensha.co.jp
<株式会社パン・ワールド>
http://www.pan-world.co.jp/dm_inquiry/index.html
<NPO法人日本個人デ−タ保護協会のDM不要の申込>
https://www.npo-jpd.jp/03_shinsei.html

 さらに,本件の顧客情報は,今回の報道により,不正の手段により取得されたものであることが明らかになったので,消去を求めることができる(同法17条,27条)。
 上記連絡先に加え,
<ジャストシステムの連絡先>
スマイルゼミ インフォメーションセンター
0120-941-220
受付時間
10:00〜20:00

もっとも,これらは流出した名簿の取得した業者名が明らかにならなければできないので,
約10社にベネッセから利用停止の通知が送られたようであるが,これらの業者名について,公表されていないので,至急,公開を望む。


参考条文
個人情報の保護に関する法律(抜粋)
(適正な取得)
第十七条  個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

(第三者提供の制限)
第二十三条  
2  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一  第三者への提供を利用目的とすること。
二  第三者に提供される個人データの項目
三  第三者への提供の手段又は方法
四  本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

(利用停止等)
第二十七条  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

posted by まんさく at 16:56| 東京 ☁| ニュースネタ | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。