★阿修羅♪ > IT12 > 103.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
ベネッセ会員の個人情報760万件流出 「進研ゼミ」など対象 内部から持ち出しの疑い
http://www.asyura2.com/14/it12/msg/103.html
投稿者 阿保の洞窟 日時 2014 年 7 月 12 日 21:22:44: bqCIRkIGb9yyY
 

http://www.itmedia.co.jp/news/articles/1407/09/news143.html

ベネッセコーポレーションは7月9日、「進研ゼミ」など通信教育サービスの顧客の個人情報760万件が流出したと発表した。最大で全顧客・2070万件の個人情報が流出した可能性もあるという。不正アクセスによる漏えいの可能性は低く、グループ社員以外でデータベースにアクセスできる権限を持つ者による犯行と推定。警察の捜査も始まっているという。

流出したのは「進研ゼミ小学/中学/高校講座」「こどもちゃれんじ」「ねこのきもち」など25サービスの顧客の個人情報で、郵便番号、子供と保護者の氏名(漢字とフリガナ)、住所、電話番号、子供の生年月日、性別が含まれていた。クレジットカード情報や金融機関の口座情報、成績情報は流出しておらず、金銭的被害の報告は届いていないとしている。

 6月下旬以降、通信教育事業を展開するIT事業者からのダイレクトメールが同社の顧客あてに届きはじめ、同社への問い合わせが急増。調査の結果、名簿事業者が同社顧客の個人情報を含むとみられるリストを扱っていることが分かり、名簿を入手・照合したところ、同社しか保有していないデータが含まれており、名簿の大半が同社のデータと一致したため、同社から流出した可能性が極めて高いと判断した。

 社内調査により、同社グループ社員以外でデータベースにアクセスできる権限を持つ内部者による情報漏えいと推定。警察の捜査に支障が出る可能性があるため詳細は開示を控えるとしている。過去にさかのぼって不正アクセスの有無を再確認するなど、社外からの不正アクセスの可能性を検証したが、情報漏えいにつながる不正アクセスは発見されていないという。

 2次被害を防ぐため、対象データベースの稼働を停止したほか、顧客情報を扱うデータベースへのアクセス監視強化、外部への持ち出し制限の強化などの対策をとる。同社のシステムはISMSを取得しているグループ会社で運用しており、プライバシーマークも取得するなど管理を徹底してきたが、「弊社の特定データベースから情報が漏えいしたことは事実」し、対策強化を約束している。

 名簿業者と、流出した名簿に基づいて営業活動を行っている企業に対しては、名簿の利用・販売の中止を求める書簡内容証明郵便を発送したという。顧客に対しては、同社からと誤認させるようなダイレクトメールやしつこい勧誘、詐欺まがいの電話などに注意するよう呼び掛けている。

 小林仁社長名で公表した告知では、「このたびはお客様にこのようなご迷惑をおかけいたしますことを、弊社一同、心よりお詫び申し上げます。皆様からの信頼を再び取り戻せるよう、再発防止に全力で取り組んでいくことをお約束いたします」と謝罪。今後も、対策についての説明を継続するとしている
 

  拍手はせず、拍手一覧を見る

コメント
 
01. 2014年7月23日 14:25:44 : S1clWA15DY
日本一“熱い街”熊谷発コンサルタント兼実業家の社長日記

日々の出来事の中で、企業の“あるべき”と“やってはいけない”を考える〜大関暁夫の言いっぱなしダイアリー〜

問題はベネッセよりもジャストシステムにあり、と思われる件
2014-07-11
http://blog.goo.ne.jp/ozoz0930/e/47df439c862e74e0399c91386738c0f8?fm=entry_awp

(全文転載)

ベネッセコーポレーションから顧客情報760万件が流失した一件、利用者の立場からはベネッセの情報管理はどうなっているのかという怒りの言葉が出るのは当然であり、ベネッセは被害者でありながらもこの点から責めを負うべき立場にあるのは論を待たないところです。

しかしこの事件の概要を知るにつけ、私がもっとも大きな問題ありと感じているのは、被害者であるベネッセよりもむしろその漏えい情報を購入してDMを打っていたジャストシステムの方です。ジャストシステムは、「スマイルゼミの拡販DMに利用する小中学生のリストが欲しい」と武蔵野市の名簿業者に依頼しこの漏えい情報230万件を入手し、実際にDMを実施します。そのことがベネッセの利用者の不審を買い、今回の事件発覚の大きなきっかけになったと言います。

ジャストシステムと言えば、ワープロソフト「一太郎」やかな漢字変換ソフト「ATOK」で知られる東証1部上場企業です。「一太郎」は90年代に一世を風靡したものの、その後はマイクロソフトの「Word」に押される形で苦境に陥り、キーエンスの傘下に入ることで近年は教育分野に事業を広げ業績は急回復していました。その教育分野で特に目覚ましい伸びをみせていたのが、小学生向けタブレット通信教育システム「スマイルゼミ」であり、今回の漏えい個人情報もこの商品の拡販に利用されたのです。

もちろん、法的には「違法に流失した個人情報とは知らずに購入した」のであるなら、ジャストシステム側に違法性はないことにはなりますし、同社はそのようにHP上で公言してもいます。しかし、230万件もの大量の小中学生情報が名簿業者から提示された際に、「この情報に違法性はないのか」と思うのは企業としての常識的な判断であり、少なくとも名簿情報の出所についての合法性の確認をとった上で購入を決めるのは当然のこと。一部上場企業が、もしもそんなコンプライアンス意識もなく行動していたとしたら呆れる他ありません。

もちろん、個人的にはジャストシステムは違法性のある名簿情報と分かった上で購入していたと思っています。もっと言えば、ベネッセの利用者の顧客情報であるという情報を得ていたからこそ、この230万件もの名簿情報を多額のコストを払ってでも購入したのではないかという確信犯ですらないのかと思えています。だいたいが、仮に合法的なやり方であったとしても、個人情報保護法下で名簿業者から大量の個人情報を購入してそれを元にDMをうつなどというのは上場企業のあるべき経営モラルから見ていかがなものか、と思えてしまうのですが、いかがでしょう。

いずれにしましても、ジャストシステムは早急に記者会見を開いて、疑惑に対してそのいきさつの詳細等を明らかにする説明責任があると考えます。仮に本当に情報の出所について知らなかったとしても、ライバル企業の個人情報御使ってDMを実施していたことは曲げようのない事実であり、HP上でひと言のお詫びもなく「うちへの疑惑はお門違い」的なコメントだけで済まそうと言うのは、危機管理広報としても完全に間違った判断であると断言できます。

ジャストシステムは、株価が昨日ストップ安を付けたと言う市場の反応を重く受け止めて、この一件は真摯な対応をとらなければ企業の存続すら危うくする事態であると一刻も早く気がつくべきでしょう。


02. 2014年8月06日 16:47:48 : nJF6kGWndY

http://jbpress.ismedia.jp/articles/print/41376
私についての情報は、誰が、どこで利用するのか 個人情報という価値の高い「流通商品」
2014年08月06日(Wed) 川口マーン 惠美
 オンラインでホテルを予約したのは、2カ月以上も前のことだ。出発が近づいてきたので、道順や所要時間を確認しようと思い、グーグルマップに目的地を入れた。すると、地図上の目的の地点に、「○月○日から○○ホテルに2泊」という表示が出た。一瞬、「え? なぜ知ってるの?」と唖然。私の行動予定をグーグルが把握している。

 そういえば、パソコンを使っていてアレッと思うことは、割としょっちゅうある。例えば、冷蔵庫が必要になってネットで探すと、そのあと、ネットサーフィンの最中に続々と冷蔵庫の広告が入る。そして、冷蔵庫の購入後は、広告は来なくなる。頭の中を覗かれたような気分だ。

各種のカードから流れ出す個人の生活情報

グーグル「忘れられる権利」要請7万件超、大手メディアにも影響
インターネット上での「忘れられる権利」を認める判決を受け、米検索大手グーグル(Google)が欧州の利用者を対象に5月30日に受け付けを始めた個人情報の削除要請が、7万件を超えたことが7月3日、分かった〔AFPBB News〕

 前述のグーグルマップのことを長女に話したら、彼女は、「グーグルは何でも知ってるのよ」といともあっさりと言った。そういえば彼女は、生活情報が筒抜けになることを嫌って、各種のポイントカードも一切使わない。

 それに比べて私ときたら、あちらのポイントカード、こちらのメンバーズカード、そして、何の役に立つのかも分からないようなカードまで、お財布の中にどっさりある。

 ただ、その私も、クレジットカードだけはほとんど使わなくなった。以前、ソウルで乗り継ぎをしたときにカードを空港で使ったら、その直後、2件の不正使用が見つかり、嫌気が差したからだ。いちいち明細を見て、本当に使ったかどうかを確かめるのは、この上なく面倒くさい。忘れてしまっているものもある。

 当時、なぜ不正を発見できたかというと、私が、行ってもいないイギリスで買い物をしたことになっていたからだ。これが日本やドイツの店だったなら、見逃していただろう。見逃しても不思議でないほどの、ちょうどいい金額でもあった。それ以来、こんな面倒なものはいらない!と思い、ほとんど使わない。4枚あったのも1枚にした。

 しかし、たとえクレジットカードを駆逐しても、他のカードを使えば情報はどんどん漏れる。ポイントカードというのは、ポイントがたまるお店が多いカードほど、便利で得をしたような気分になるが、これが曲者。

 お店がポイントカードを出す目的は、お客に利益を還元することではなく、言うまでもなく、お客の個人情報の収集だ。カードが広範囲に使われれば使われるほど、その顧客の情報は完璧なものになっていく。しかも、収集され、解析された情報はそこに留まらず、販売される。本人が知らないうちに情報は拡散されるのである。

 最近、買い物をして、ポイントカードを出すたびに、いったい私という人間について集められている情報はどんなものなのだろうかと想像する。名前、生年月日、メールアドレスは、カードを作るときに開示している。たいてい、住所、性別、電話番号、家族構成なども。

 それにいろいろな情報が加わっていく。使う航空会社はどこ、買い物はどこ、趣味は何、どこのホテルに泊まり、どこのレストランで何を食べるかなどという情報は、難なく収集できるだろう。

 1年に何度もドイツと日本を往復するというのは、かなり特殊な行動様式のはずで、あまり役に立たない情報? 買い物の傾向はもちろんすべて丸見え。洋服は日本で購入、靴はドイツ。ブランド品を買う癖はないが、ときどき映画とオペラに行き、よくオンラインで本を買う。コーヒーは日常必需品、ワインの消費が若干多い・・・?

 すごい! まるで私の家計簿ではないか。お金の出納を管理することが極力苦手で、未だに自分が毎月、何にいくらお金を使っているかということが一向に把握できない身の上としては、料金を払ってでもいいから、一度見せてもらいたい気がする。

 いや、そんなのんきなことを言っている場合ではなかった。今、挙げた程度の情報なら、別にどうってことはないが、問題はその先だ。この情報収集が、将来、いったいどこへ向かっていくのかが見えない。

情報技術の発達の先には罠が待っている?

 個人情報などという言葉が流行っているが、何のことはない、実際は、個人情報は保護されず、独り歩きしている。現代社会において、情報は非常に価値の高い流通商品なのである。

 ドイツ人は、個人情報についてとりわけ神経質で、国勢調査まで否定しようとするお国柄だ。その意識はまことに高いと思うが、しかし、覗かれている事実は変えられない。

 現在、ドイツで大問題になっているアメリカの情報収集しかり。メールも、フェイスブックも、スカイプも、皆、その中身が収集されていたという。最近のアンケートでは、ドイツ人のアメリカ人に対する信頼度は、急激に落ちてしまった。

スノーデン暴露が世界に及ぼした不安
元CIA職員のエドワード・スノーデン容疑者による数々の暴露は、米当局の世界的なスパイ行為を暴き、監視国家に対する恐怖を呼び起こした〔AFPBB News〕

 いずれにしても、情報の漏洩は、すでに抵抗しようのないところまで進んでいるのではないか。繰り返すようだが、これが将来、私たちにどういう結果をもたらすのかが分からない。

 国家にすべて統制されるという、警察国家的な方向に行かないという保証もない。リベラルな考えの極めて強いドイツ人が、情報技術の発達に夢中になっているうちに、監視統制の罠に落ちるとしたら、あまりにも皮肉な話ではないか。

 ビッグデータという言葉をよく聞く。巨大で複雑なデータ集合の集積物を表す用語だ。そんな雑多で膨大なデータ群など、これまではさほど重要視されていなかったが、今では急に宝の山となりつつある。

 ビッグデータの特徴は、数が膨大で、種類も膨大で、しかも、頻繁に変化するということだそうだ。つまり、数値や文字列だけではなく、文章、音声、動画、メール、ひいては、いろいろな機器が発するデータなど、すべてが含まれる。

 そこから、質の良い、利用可能な情報を抽出し、解析し、分析し、最終的に可視化する。それらが最終的に、商品開発の傾向や、研究の品質決定、疾病予防、犯罪防止、リアルタイムの道路交通状況判断など、様々なことに利用される。

 会員数が8億人を超すと言われているフェイスブックなども、ここに潜む情報は膨大な付加価値を持つのだろう。

 日本でも、最近、通信教育の大手ベネッセにおける顧客情報流出事件が起こった。外部から雇われていたシステムエンジニア(39歳)が、ベネッセ社の顧客情報を自分のスマートフォンに取り込んで売却したというが、現在分かっているだけで、情報総数が約2260万件。ちょっと想像できない数だ。そんな大量の情報を、スマホに取り込めるということさえ、私には驚きだった。いずれにしても、情報は商品なのだ。

 受験生用のソフトを売ろうとする会社がベネッセの情報を入手したなら、どの家庭が受験を控えた子供を持ち、教育に熱心で、経済力があるかということが特定できる。そうなれば、ダイレクトメールも、しらみつぶしに老人家庭にまで送る必要はない。当然のことだが、魚を釣るには、釣り堀でやるのが一番だ。

 とはいえ、このような利用の仕方は、私にも理解できるということで、まだまだ他愛無いものなのだろう。情報利用の真の姿は、残念ながら素人にはよく見えない。

技術の進歩で便利になることと裏腹の恐怖感

 最近、この20年の技術の進歩はあまりにも早過ぎたという恐怖感のようなものに囚われるときがある。しかも、そこには、その進歩は良くない方向に向かっているのではないかという、ほぼ確信に近い疑問が伴う。

 近い将来、ドイツでは家庭の全電子化が始まり、家電製品たちは自分で考え、家政を管理してくれるようになるそうだ。冷蔵庫は足りない物を注文し、エアコンは帰宅する頃にちょうどいい室温を提供してくれる。ということは、能力のあるハッカーなら、そこに不法に割り込んで、それらを遠隔操作することだってできるのだろう。やっぱり怖い・・・。

 車は便利な物で、私でも使いこなせる。だからといって、自分で造れと言われればお手上げだが、少なくとも、エンジンがどういうふうに機能するのかは学校でも習ったし、動かなくなれば、私でもその原因を想像することぐらいはできる。これは電気系統かな、それともエンジントラブル、あるいは、単なるガス欠とか。

 コンピューターも便利で、特にインターネットには絶えず世話になっている。一瞬でこの原稿を日本に送れるなど、20年前には想像もできなかった。調べ物もあっという間だ。だから、使いこなしていると言えば、言える。

 ただ、私がこれらによって、私とまるで無関係の場所、それも世界中のネットワークに繋がっているかと思うと、とても不気味に思えてくる。

 そもそも、インターネットもパソコンも、なぜ機能するのかが全く分からないのだ。買った時点でパソコンに罠が仕掛けてあっても、もちろん分からない。動かなくなれば、私の場合、そのまま救助を待つしかない。

 つまり、こういう状態を、“使いこなす”と言えるかどうか? 技術の進歩に関しては、そのうち、思いもよらない大きなツケがくるような気がする。まず、皆がここまでインターネットの中毒症状に陥ってしまっているのも、ひょっとすると、もう、罠にはまってしまっている証拠かもしれない。


03. 2014年10月27日 18:07:55 : jXbiWWJBCA
社内「サイコパス」のサイバー攻撃を防げ−問題社員を特定する動き
By PRIYA ANAND
2014 年 10 月 27 日 16:29 JST

社内サイコパスの特定を請け負う企業も登場している Shutterstock.com
 企業は会社のお金やデータ、同僚らを危険にさらす可能性のある問題社員をうまく見つけ出す方法を探している。

 もちろん大半の経営者は問題社員をそもそも雇いたくないと思っている。しかしサイバー攻撃の多発や、不満を抱える社員や退職した元社員が「重大なサイバー攻撃の脅威をもたらす」可能性があるとの連邦捜査局(FBI)の警告を受けて、経営者は「腐ったリンゴ」を取り除くためにスクリーニング(適性検査)の強化や、新たな技術の導入などを試みている。

 従業員はさまざまな面で会社の重荷になり得る。インサイダー取引、経費や給与の水増し請求、贈収賄、恐喝といった行為のほか、単純に非生産的であることも問題だ。データへの不正侵入が一般的になるにつれ、従業員のネットワーク上での行動を監視し、危険な動きを特定する手助けを行うセキュリティー関連会社が登場してきた。

 「腐ったリンゴ」を取り除く動きは大きなトレンドになりつつあるが、従業員のコンピューター上での行動分析という技術が使われるようになってきた。仕事場での適性テストは年間5億ドル(約540億円)規模の市場になっている。例えば私欲のために他人を踏み倒したり、同僚を脅したりといった性質や、不誠実さ、共感力の欠如などといった「サイコパス(精神病質者)的」な要素を持った採用候補者や社員を見分けることも狙いの一部だ。

 テクノロジー面での取り組みを追加する価値はあるかもしれない。FBIによると、従業員によるサイバー攻撃により企業が受ける損害は5000ドルから300万ドルに及ぶ。こうしたサイバー攻撃にはデータやソフトウエアの窃盗から、会社のウェブサイトへの妨害などが含まれる。

 社内の脅威から企業を守る事業を手がけるパーソナム社(バージニア州)の創業者兼最高経営責任者(CEO)クリス・カウフマン氏によると、特に大衆向けの事業を行う企業に、サイバーセキュリティー予算に内部の脅威に対処するための項目を入れるケースが出てきたという。「企業は内部の脅威を非常に意識しており、かなり懸念を持っている」。同社の顧客には金融サービス企業、法律事務所、ヘルスケア関連企業などが含まれる。

 パーソナムは従業員の行動プロファイルを作成する。同じような業務を行っている従業員の作業を基準として利用し、データベースの作業に不当に時間を使っていたり、無許可で不自然な時間帯に作業をしていたり、古いデータをダウンロードしていたりする人物を見つけ出す。

 カウフマン氏は「内部の犯罪者は違法行為に完全に移行するわけではない。彼らは自分の業務をし続けている」と言う。「われわれの技術は彼らの小さな行動の変化や、彼らと緊密に仕事をしている人たちとの違いを捉えるために作られた」

 社内の脅威となるような従業員はたいてい、入社当初からそんなふうではない。専門家によると、大半の人は会社から何かを盗むつもりで仕事を探すわけではない。犯罪行為は数カ月もしくは数年後に始まる。昇進が見送られたり、上司に人前で激しく非難されたりといった人生を変えるような出来事がきっかけになる。

 フォレンシック・コンサルタンツのデービッド・バーンスタイン社長はヘッジファンドからバイオテク企業まで年間約100社のコンサルティング業務を手がけている。顧客企業が人材を採用する際、将来インサイダー取引や妨害行為を行う可能性のあるサイコパス的な傾向を持った人物を特定する作業をバーンスタイン社長は手伝う。忠誠心や共感力の欠如、人を操りたがる傾向、精神障害など、倫理的な境界線を侵しかねない要素を持った性格的特徴を探すのだ。

 サイコパスを雇うことに伴う従来のリスク――同僚を危険にさらしたり、会社を法的問題に巻き込むような違法行為を行ったりするリスク――に、今やコンピューターへのハッキングという恐れが加わった。

 バーンスタイン氏は「今は誰もがネット上に存在する」と指摘する。サイバー犯罪者や会社の業務を意図的に妨害する従業員は、金が目当てだ。「彼らは会社のことは気にも留めていない。忠誠心はまったくない」

 FBIは企業に対し、従業員が何にアクセスしているかを定期的に検査し、業務に必要ないシステムへのアクセスは排除するよう勧めている。また、第三者のサービス提供企業を常に社内に関与させ、社内コンピューターへのインターネットを介したアクセスを制限し、パスワードの再利用を禁止することもアドバイスしている。
http://jp.wsj.com/news/articles/SB12072851737206304029704580239782837248238#printMode


04. 2014年11月20日 15:15:49 : nJF6kGWndY

ロジッテクはヤバいな

http://www.yomiuri.co.jp/it/20141120-OYT1T50012.html?from=y10
無線ルーターからID流出…中国向けサーバー
2014年11月20日 08時52分


 中国の利用者向けの「中継サーバー」がインターネットの不正接続に悪用された事件で、警視庁に摘発されたサーバー運営会社2社が使用した他人名義のIDやパスワードの大半が、パソコン周辺機器メーカー大手の無線ルーターから流出したものだったことが、同庁幹部への取材でわかった。

 同庁と京都、鹿児島など19道府県警の合同捜査本部は19日、サーバー運営会社の中国人ら11人を不正アクセス禁止法違反容疑などで逮捕したと発表。IDなどの入手経路を追及する。

 警視庁はこのうち、中継サーバー運営会社の「大光」(東京都台東区)、「SUNテクノ」(豊島区)の2社の関係先12か所を捜索。大光社長の張徳育容疑者(30)(北区)ら男6人を、いずれも不正アクセス禁止法違反容疑で逮捕した。6人は「わかりません」などと容疑を否認している。

 警視庁幹部によると、2社は大手プロバイダー(ネット接続業者)のサーバーに接続するため、約1500人分の他人名義のIDやパスワードを保有。同庁がIDなどの名義人に照会したところ、その大半がパソコン周辺機器メーカー大手「ロジテック」(東京)製の無線ルーターの利用者だったことがわかったという。


  拍手はせず、拍手一覧を見る

フォローアップ:

このページに返信するときは、このボタンを押してください。投稿フォームが開きます。

この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)  recommend
★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
  削除対象コメントを見つけたら「管理人に報告する?」をクリックお願いします。24時間程度で確認し違反が確認できたものは全て削除します。 最新投稿・コメント全文リスト

▲上へ      ★阿修羅♪ > IT12掲示板 次へ  前へ

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
 
▲上へ       
★阿修羅♪  
この板投稿一覧