ベネッセ個人情報流出事件|信頼喪失とその影響
2014年に起きたベネッセの個人情報流出事件。当時は連日のように報道され、社会全体に強い衝撃を与えました。
しかし、時間が経った今では、その深刻さや影響が忘れられつつあります。
けれども、あの事件は「個人情報管理」や「企業の信頼」という点で、今なお多くの教訓を残しています。
このコラムでは、この事件の経緯と影響を改めて見直し、現在の個人情報管理のあり方について考えてみたいと思います。
ベネッセは法的にどのような責任を負うのか?
ベネッセにとっては、自社の顧客情報という営業上きわめて重要な「営業秘密」を奪われた被害者でもありますが、顧客の立場から見れば、個人情報を漏えいされた「加害者」とも言えます。
このため、ベネッセは法律上、顧客に対して不法行為責任を問われる可能性がありました。
実際、事件後には複数の民事訴訟が提起されました。
2018年の東京地裁判決では、グループ会社シンフォームに対して1人当たり3300円の賠償を命じる判決が出され、2019年には大阪高裁がベネッセに対して、プライバシー侵害による慰謝料として1人当たり1000円の支払いを命じています。
また、事件を引き起こした派遣社員には不正競争防止法違反により刑事責任が問われ、懲役2年6カ月・罰金300万円の実刑判決が確定しました。
このように、ベネッセは顧客に対して損害賠償責任を一部認められたほか、個人情報保護法に基づく事後対応義務も負うことになりました。
具体的には、情報の利用停止や削除を求める顧客からの請求(個人情報保護法27条)に対応し、再発防止のための体制整備にも取り組む必要がありました。
実際、ベネッセは顧客への補償として500円分の金券を配布し、外部専門家の招聘や社内セキュリティ体制の再構築を進めました。
それでも、当時は顧客離れが進み、進研ゼミの会員数が94万人減少するなど、経営にも大きな打撃を与えました。
しかし、数年後には経営も回復基調に入り、ベネッセは改めて個人情報保護の重要性を再認識しながら、信頼回復に向けた取り組みを継続しています。
実際、事件後には複数の民事訴訟が提起されました。
2018年の東京地裁判決では、グループ会社シンフォームに対して1人当たり3,300円の賠償を命じる判決が出され、2019年には大阪高裁がベネッセに対して、プライバシー侵害による慰謝料として1人当たり1,000円の支払いを命じています。
参考:判例検索|最高裁判所
ベネッセが法的責任以外に残った影響とは?
すでに述べた法的責任に加えて、この事件はベネッセの企業イメージにも深刻なダメージを与えました。
当時、報道では解約の申出が3000件以上にのぼったとされており、その営業損失の大きさからも、顧客からの信頼を失うことの影響力の強さがうかがえます。
一般に、企業に対してネガティブな情報がマスコミやインターネット上で拡散されると、そのイメージ回復には長い時間と多大な労力が必要になります。
実際、事件後しばらくはブランドイメージの低下や会員数の大幅な減少が続き、経営自体にも影響が及びました。
その後、情報管理体制の強化や信頼回復に向けた取り組みを重ねたことで、ようやく再建の兆しが見え始めたものの、一度失った信頼を取り戻すことがいかに難しいかを物語る一件だったといえるでしょう。
個人情報流出を防ぐために企業が考えるべきこと
今回の事件を通じていえることは、顧客情報をはじめとする営業秘密をいかにして守るかを考える必要があります。
特に、顧客情報などの営業秘密を守るためには、技術的な対策だけでなく、「誰が情報に触れられるか」という人的管理が鍵となります。
今回ベネッセは大量の個人情報をグループ会社にて管理していました。そこに派遣のシステムエンジニアが出入りしていたという状況で事件が起こりました。
では、情報漏えいを防ぐために、企業としてどのような対策を取るべきなのでしょうか?基本的なポイントは以下のとおりです。
- 情報にアクセスできる人を最小限に限定する
- 情報の持ち出しができないように情報の保存場所と取り扱い方法を明確にする
- 情報の複製や持ち出しには明確な許可ルールを設ける
ベネッセの事件は、「誰でも起こりうる」ではなく、「他人事ではない」ことを私たちに教えてくれました。
ぜひ、自社における情報管理の在り方について、今一度立ち止まって見直してみてください。
0120-783-645
365日24時間電話予約受付(フリーダイヤル)
