犯人は、ベネッセのグループ会社の再委託先業者の派遣社員のシステムエンジニアとのこと。
手口は、ベネッセから貸与されたパソコンと、管理権限を与えられたID、パスワードを使って、サーバーにアクセス、複数回に渡って、コピーしたって、なんともお手軽過ぎな犯行。
あんまりお手軽過ぎて、裁判にでもなったら悪意の証明が出来ないかも。
まあ、並のシステムエンジニアが本気でハッキングするつもりなら、利用履歴を一切消去して、外部から侵入したように偽装工作するくらいの知恵はあると思うんですが……
この件について、ベネッセのものと『知らなかった』として、データを購入したジャストシステムは、247万件の購入したデータを道義的責任があるとして、削除するとしましたが……
ベネッセが捜査の妨げになるとして、削除を止めるようにジャストシステムに書面を送ったとか。
ベネッセは『自らの責任を他社に転嫁するわけではないが、顧客の不安を取り除くため、データ削除でなく、全面解明と拡散防止が必要』と述べています。
しかし、ベネッセに預けたはずの個人データがジャストシステムに置かれているのは、ベネッセの道義的ではなく、利用者との契約違反になるはず。
警察も捜査に乗り出している関係もあるのでしょうが、ジャストシステムに削除中止を要求するのは、的外れも良いところ。
個人情報保護以前に、ベネッセのコンプライアンスに問題があるようです。
