ベネッセ 個人情報流出事件で地裁から賠償命令 3338人に計1100万円
2014年に発覚したベネッセコーポレーション(岡山市)の情報流出事件で、重要な個人情報が漏れたとして顧客ら約5千人が1人当たり5万5千円の損害賠償を求めた訴訟の判決で、東京地裁(新谷祐子裁判長)は2024年25日、うち3338人に1人当たり3300円、総額約1100万円の支払いを命じた。
判決は、ベネッセ側が流出を認めた人数を賠償の対象と認定。その上で、漏えいした氏名や生年月日といった情報は「社会生活を営む上で一定範囲の他者に開示することが予定されており、秘匿性が高いとは言えない」として費用を算出した。
ベネッセ個人情報流出事件とは?
ベネッセのグループ会社へ勤務していた派遣社員のエンジニアが情報を持ち出し、名簿業者へ販売していた事件で最大約2070万件の個人情報が漏洩した可能性があるとされています。
同従業員は派遣社員ながら、従業員教育も行い なおかつ管理者アカウントを保持している人物でした。
ベネッセ個人情報流出事件の問題点
ベネッセ社は
・外部記録媒体の持ち込み禁止
・大量のデータ出力時は事前に稟議を申請する
・規定以上のデータ出力の際はログ出力
などは行っていましたが、
大量のデータ出力可能が可能 かつ 正当な権限を保持したIDから情報流出につながっています。
その為、本件の一番の問題点はIDの権限と役割が細分化されていなかった事が原因となります。
対策例
一般の企業でも特権ID管理は内部統制規定でも重要なポイントになりますので、
特権IDからの個人情報流出対策例は以下です。
・社員と非社員で操作できる権限を分ける(例:データ出力は社員の役職者のみなど)
・ID権限によって、データ出力件数と出力できるデータの内容に制限を分ける
・大量のデータ出力を行う際の承認フローの厳格化
・アカウントの権限見直しを定期的に実施