ベネッセホールディングスでの個人情報漏えい

7月9日、ベネッセホールディングスで、お客様情報約760万件が漏えいし、その数は最大で約2070万件に及ぶ可能性があることが発表されました。

「このたび、ベネッセコーポレーション(以下「弊社」といいます。)のお客様情報約 760 万件が外部に漏えいしたことが確認されましたので、ご報告申し上げます。お客様情報が漏えい
したと思われるデータベースに保管されている情報の件数から推定すると、最大約 2,070 万件のお客様情報が漏えいしている可能性があります。」
(ベネッセホールディングス、2014年7月9日付プレスリリースより)

今回は、この件を通じて、企業が個人情報を漏えいした場合の対応について考えてみます。

個人情報漏えい時の企業内で行うべき対応については、過去に一通り書いたことがありますので、そちらもあわせてご確認ください。

個人情報漏えい時の対応でもっとも重要なことは、お客様の不安感を払拭すること

企業が個人情報を漏えいしたことについて対応する際、念頭に置いておくべきことは、お客様の不安感です。

その企業のお客様の誰でもが、次のような思いを抱きます。
担当者自身が「自分が個人情報を預けた立場」になって考えてみればわかるはずです。

  • 「私の個人情報が漏えいしたのではないか?」
  • 「どんな個人情報が漏えいしたのだろう?」
  • 「漏えいした個人情報は回収できないのか?」
  • 「いったい、これから私の身に何が降りかかるのだろう?」
  • 「会社として責任はどうとるつもりなのか(怒)」

そうだとすれば、企業としては、こうしたお客様の不安感を拭い去るように対応をしていかなければならない、ということになります。

その意味で、ベネッセホールディングスのプレスリリースが冒頭で「お客様をはじめとする皆様に、多大なご心配・ご迷惑をおかけいたしますことを、深くお詫び申し上げます。」と謝罪していることは、事件の本質を理解した謝罪文であると評価できます。

漏えいした個人情報の内容と範囲を特定する

「私の個人情報が漏えいしたのではないか?」「どんな個人情報が漏えいしたのだろう?」という不安を払拭するためには、漏えいした個人情報の内容と範囲を特定する必要があります。

ベネッセホールディングスのプレスリリースの内容

ベネッセホールディングスのプレスリリースでは、「漏えいしたお客様情報」と題して、次のように、漏えいした個人情報の内容と範囲を特定しています。

<該当するお客様>
現在、漏えいしたと考えられるのは、弊社が提供する通信教育サービス等のお客様に関する情報約 2,070 万件、うち、漏えいが確定している情報は約 760 万件です。該当する情報は別紙に記載するサービスをご利用いただいている(または過去ご利用いただいていた)お客様の情報です。

<漏えいが確認されている情報項目>
漏えいしたことが確認された情報項目は以下の通りです
 郵便番号
 お客様(お子様とその保護者)のお名前(漢字およびフリガナ)
 ご住所
 電話番号(固定電話番号または携帯電話番号)
 お子様の生年月日・性別
クレジットカード番号・有効期限、金融機関の口座情報、成績情報など上記項目以外の漏えいは確認されておりません

また、今般のお客様情報の漏えいは特定のデータベースからのものであり、漏えいしたリストを入手しデータ内容を調査した結果、別紙記載の商品・サービス以外のお客様情報を保管しているデータベースには、異常がないことを確認しております。

漏えいした個人情報の数の最大可能性を最初に摘示したことの重要性

ベネッセホールディングスのプレスリリースは、まず「お客様に関する情報約 2,070 万件、うち、漏えいが確定している情報は約 760 万件」と、最大数と確定数を両方記載しています。
これは、2070万件以上は漏洩していません、ということで、お客様を安心させるために必要な記載です。

もし、この記載がなく「漏えいが確定している情報は約760万件」とだけリリースして、後日になって、「約760万件以上の個人情報が漏えいしていることが発覚しました。実は1000万件でした」「さらに調査したら、約1500万件漏えいしていました」「いや実は・・・」などと訂正を繰り返したら、どうでしょう。
お客様は「もっと漏えい件数が増えるのではないか?」と不安になります。
そうした不安を抱かせないためには、最初から「最大で○○件の可能性」ということを明示していたほうが、事態は早期に収束しやすいのです。

漏えいした個人情報は、どのサービスを利用したお客様なのかを摘示することの重要性

あわせて、ベネッセホールディングスのプレスリリースでは、「該当する情報は別紙に記載するサービスをご利用いただいている(または過去ご利用いただいていた)お客様」「別紙記載の商品・サービス以外のお客様情報を保管しているデータベースには、異常がないことを確認しております」と記載し、どのサービスを利用したお客様の個人情報が漏えいした可能性があるということを明言しています。

これもまた、これ以外のサービスしか利用していないお客様は個人情報が漏えいしていないから安心してください、というメッセージを伝えるものです。

漏えいした個人情報の内容を特定することは、最重要

しかも、ベネッセホールディングスのプレスリリースは「漏えいしたことが確認された情報項目は以下の通りです」「クレジットカード番号・有効期限、金融機関の口座情報、成績情報など上記項目以外の漏えいは確認されておりません」と、漏えいした個人情報の内容を特定しています。

これによって、「もしかしたら、クレジットカードが悪用されるのではないか」「金融機関の口座からお金を抜かれるのではないか」「子どもの成績が表に出てしまうのではないか」などという不安を払拭することができます。

個人情報を漏えいしたということで生じるお客様の不安を一つずつ取り除いていく。
そのためには、こうした個人情報の内容の特定というのは、意味があることです。

ベネッセホールディングスでの個人情報漏えい対応の最大の特徴=Webサイトの最大活用

これまでの個人情報漏えい事件でも、企業のWebサイトに個人情報漏えいについての情報を掲載することは行われていました。
ただ、今回のベネッセホールディングスの場合、過去の個人情報漏えい事件とは比較にならないほど、Webサイトが充実していることも特徴です。
これは、ベネッセホールディングスが B to C を業態とする会社であり、一般消費者に向けての情報発信を怠れば、企業としての信頼を失う可能性が高いということからではないかと推察できます。

企業Webサイトのトップページの頭に、個人情報漏えい事件についての専用ページへのリンクを掲載

ベネッセホールディングスでは、会社の公式サイトのトップに、個人情報漏えい事件についての専用ページへのリンクを掲載しています。

Benesse  ベネッセグループ

赤く囲ったのは私が注釈したものです。
謝罪と専用ページへのリンクがわかりやすく掲載されているのは評価されて良いと思います。

プレスリリースをわかりやすく構成し直し、問い合わせ窓口も掲載

次いで、専用ページを訪問すると、プレスリリースの内容を一般のお客様が読んでもわかりやすくなるように、構成し直されています。
あわせて、問い合わせ窓口が赤囲みで掲載され、その赤囲みの中に、強調したいポイントも列挙されています。
※この赤囲みはベネッセホールディングスがしたものです

お客様に情報を伝えるというWebサイトに掲載することの役割を、よく理解した対応かと思われます。

ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び(お問い合わせ窓口のご案内)

お客様からのよくある質問と回答のページ

さらに、特筆すべきは、「多く寄せられているご質問とその回答」のページの存在です。

大抵の場合、こうした良くある質問と回答(FAQ)のページが作られても、社内の目線で見た質問と回答だけで埋められていることが多いです。
しかし、ベネッセホールディングスの場合、お客様目線に立った質問と回答が数多く、しかも、日々、最新の質問と回答が追加掲載されています。

発表から日がない中で、ここまで充実させているのもまた評価されるべき点ではないかと思います。

多く寄せられているご質問

ブログ形式での日々の情報更新

そのうえで、「お客様へのご案内」「対策進捗」「プレスリリース」がブログ形式で、投稿されるようになっています。
正直、これらの内容は重複する部分もあるので統合してしまってもいいような気もしますが・・・。
とはいえ、ブログ形式、つまり、最新の情報が常に一番上に来るように情報がアップされているのは、他の企業では見られなかったパターンではないかと思います。

他の企業にとっては、危機管理対応として参考になる

今回のベネッセホールディングスのプレスリリース、Webサイトの作り込み方は、他の企業にとっても、事件・事故対応、危機管理対応として非常に参考になるものです。
役員間、総務・広報の各部署では、他社事例の分析として社内共有しておくべきかと思われます。

私が企業不祥事広報のセミナーなどでお話ししている内容がほとんどすべて網羅されている、という点でも、私の目から見たら十分な対応をしているなと感じます。
私に仕事振ってくれれば、もっと良かったのですが・・・。私の日常的な仕事は、こういう対応策の提案・助言ですので・・・。