ベネッセホールディングスは2014年7月22日に都内で会見を開き、前日21日に発表した新たなデータ流出について説明した(ITpro関連記事)。合わせて、内部調査委員会「個人情報漏えい事故調査委員会」の構成メンバーも発表した。
ベネッセによれば、元社員の私物スマートフォンに残されていたデータを抽出した警察の要請を受け、ベネッセが抽出データの鑑定を行った結果、計2260万件のデータが同社の顧客情報であることを確認したという。
私物スマートフォンで持ち出された情報が、さらに名簿業者など外部の事業者に流出したかについて、ベネッセホールディングスの松本主税CRO(チーフリスクマネジメントオフィサー)は「ベネッセ側では確認が取れてない」とした。
この2260万件には、名簿業者への流出が確認されている620万件(7月9日時点で漏洩を確認した発表した760万件から、後にデータを精査して同一人物の重複などを除いた数字)のうち580万件が含まれていたほか、新たにベネッセの通信販売サービス「ベネッセライフスマイルショップ」、女性専用の口コミ情報サイト「ベネッセウィメンズパーク」の会員情報の一部、さらにはアンケートや資料請求を通じて取得した非会員情報が含まれることが判明した。ベネッセは当初、漏洩した情報に非会員情報は含まれないと説明していた。
今回、元社員のスマートフォンにコピーされた顧客情報は、7月9日時点で判明した漏洩データと同一のデータベース(DB)にあるという。「一つのDBに様々な領域がある。DB(の構成)が複雑で、領域ごとにデータの項目が異なる。DB全体で何件のデータがあるかは現時点で集計できていない」(松本CRO)。
ベネッセライフスマイルショップやベネッセウィメンズパークの会員登録では、氏名、住所、電話番号、生年月日に加え、出産予定日を書き込む項目がある。今回、この情報も約20万件ほど漏洩していたという。出産予定日がセンシティブ情報に当たるかどうかは「センシティブ情報について、社内でも明確な定義をもっていない。顧客情報はいずれも重要な情報と認識しているが、出産予定日がセンシティブ情報かどうかは、定義がないためお答えしかねる」(松本CRO)とした。クレジットカード番号の流出は、現時点でも確認されていない。
