ベネッセ「お詫び」で赤字転落も、個人情報依存営業から脱却できるか

　日本最大の教育サービス業ベネッセホールディングスの顧客情報流出事件で、警視庁は同社の１００％子会社でシステム会社シンフォームの業務委託先の元派遣社員を不正競争防止法違反（営業秘密の領得）の疑いで逮捕した。

ベネッセが、情報流出の対象者に郵送した「お詫（わ）び」の文書

　これを受けて、ベネッセは、お客様へのお詫び対応として、「２００億円の原資を準備する」と発表した。かつてない大量の顧客情報流出、しかも子どもの情報が中心だけに、信用を基盤とする教育サービス業としてダメージは大きいだろう。

　個人だけではなく、同社が注力している学校向けビジネスにも影響が広がる恐れもある。ただ、同社は、日本で数少ない「プロの経営者」である原田泳幸氏を代表取締役会長兼社長に迎えたばかりで、顧客情報流出をきっかけとして、転換が遅れたビジネスモデルを変えていく機会につながる可能性も残されている。

　朝日新聞などによると、容疑者の元派遣社員はシステムエンジニア（ＳＥ）で、シンフォーム東京支社で、昨年７月から今年６月に計１５回、延べ１億件以上を持ち出したうえ、都内の名簿業者に売却した疑いがあるとされている。

http://www.asahi.com/articles/ASG7K3D19G7KUTIL00D.html

業務委託先の社員の履歴を監視しなかったのか

　警視庁は、ベネッセの被害相談を受けてから１０日間ほどで容疑者を逮捕している。容疑者の特定に時間がかからなかったということは、当然ながら、データベースへのアクセス状況などが記録されて追跡可能なシステムになっていたことを意味する。詳細は捜査を待つしかないのだろうが、なぜシンフォームやベネッセは、合計１５回にわたり大量の情報が持ちだされながら、複数顧客から他社ＤＭ郵送の指摘まで、顧客情報流出に気づかなかったのかという点に強い疑問が残る。

　ベネッセ・グループは、容疑者の特定が可能な情報システムを持ちながら、事前に発見できなかったセキュリティポリシーや二重の監視体制が整備されていなかったか、もしくは実行されていなかったということになる。情報流出防止の観点から、業務委託部署と異なる監視の専任部署が定期的にログイン履歴、アクセス状況、ＵＳＢメモリの利用状況、ダウンロードのデータ量などをチェックしていれば、情報流出を発見できる機会はあったはずだ。

　そもそも、複数で作業に当たっていれば、情報を持ちだすことをある程度、防げたかもしれない。ＵＳＢメモリが利用できるパソコン環境で、私有のスマートフォンの持ち込みを禁止していなかったとしたら、セキュリティ上、問題と言える。大量の個人情報を収集してきたベネッセとしては、情報管理体制の未熟さについて、顧客からの批判を免れないだろう。

　前回の記事「ベネッセの深い闇、大量個人情報による成長と学校教育ビジネス」で指摘したように２０７０万件の顧客情報が１件あたり１人としても、ほぼ未成年の人口に相当する。つまり一企業が網羅的に子どもの情報を収集していたとしたら、異常な営業活動と言われても仕方がない。現実に情報が流出したことを考えると、企業倫理を逸脱した危険な営業手法と言える。あってはならないことである。

２００億円、利益を失う巨額の謝罪費用

　同社は、謝罪の方法に関しては、「お詫びの品や受講費の減額など、様々な方法を検討」するとしている。前回の記事で、筆者は２０７億円という数字を示していた。２０１４年３月期の当期純利益は１９９億円、顧客情報流出事件前の業績見通しでは、２０１５年３月期の当期純利益を２１３億円と見込んでいる。顧客情報流出による信用低下が売り上げ減少につながるほか、