ベネッセホールディングスは2014年9月25日、外部専門家をトップとする「個人情報漏えい事故調査委員会」による調査報告の概要版を公表した(調査報告のPDF)。
調査期間は2014年7月22日から9月12日までで、延べ63人の関係者への事情聴取、関係資料の分析、現場検証を通じて報告書を作成した。2014年9月12日に、同社の原田泳幸会長兼社長が最終報告書を受領した。
報告書の要旨については、既に原田会長兼社長が2014年9月10日の記者会見で説明している(ITpro関連記事:ベネッセの再発防止策は正攻法か、奇策か)。以下、報告書で初めて明らかになった事実や指摘を、「アクセス権限の管理」と「組織体制」に分けて抜粋、引用する。
(1)顧客情報データベースのアクセス権限の管理
「担当者は、管理者の承認を得てアクセス付与申請をし、当該業務担当者が担当する作業に必要であれば、申請受付部門が承認しアクセス権限が付与された。また、シンフォームにおいては、付与済みのアクセス権限の見直しが定期的に行われていない状況も多く見受けられた」
「シンフォームは、本件データベース内の個人情報をより細分化又は階層化しグルーピングした上で、異なるアクセス権限を設定する等の対策までは講じていなかった。また、本件データベースは、主としてマーケティング分析のために使用されていたが、その目的に照らして、必要にして十分な程度までの個人情報の抽象化及び属性化は行われていなかった」
「シンフォームは、松崎(注:情報漏洩の容疑者)を含め、業務委託先の担当者について、二次委託先、三次委託先等のどの委託先に所属する従業員かというシンフォームとの間の契約上の位置付け等について把握することなく、本件データベースに保存された個人情報等に広範囲にアクセスする権限を付与する場合があった。そのため、シンフォームは、業務委託先の担当者に対する業務の分配や、付与するアクセス権限を必ずしも適切にコントロールできていなかった」
(2)顧客情報管理の組織体制
「ベネッセグループにおいては、情報セキュリティに関するグループ全体の統括責任者が必ずしも明確に定められていなかったとともに、情報セキュリティについてグループ全体で統括的に管理を行う部署が存在しなかった」
「BC(注:ベネッセコーポレーション)やシンフォームにおいては、ビジネス環境の変化に適応するために頻繁に行われる組織再編の結果、従前行われていた業務が再編後の組織に承継されなかったり、各組織間で責任・権限の所在が不明確になる場合があった」
「シンフォームについてみると、その重要な顧客であるBCの事業部門の意向に従わざるを得ない傾向が認められ、BCが、シンフォームの立場を強化するための施策を講じはしたものの、当該傾向を完全に払拭することはできず、事業効率やスピードを重視せざるを得ない結果、情報セキュリティの維持・向上のために十分な役割を果たせなかった」
