Winny事件、PC遠隔操作事件、ベネッセ漏洩事件――日本のITを揺るがしたIT刑事事件を、日経BPの雑誌記事、Web記事などを基に振り返る。

 懲役2年6月、罰金300万円。

 ベネッセコーポレーションから大量の顧客情報を流出させた元システムエンジニア(SE)に対して東京高等裁判所は2017年3月21日、実刑判決を言い渡した。「顧客情報は営業秘密に当たらないので無罪」という元SE側の主張を退けた一方、1審より懲役を1年短縮した。その後元SE側は最高裁判所に上告したものの、2017年6月には上告を取り下げ、東京高裁の判決が確定した。

3500万件、空前の情報漏洩

 実刑判決を受けた元SEはベネッセホールディングスのIT子会社からデータベース(DB)開発・管理業務を受託した企業の委託社員だった。2012年からSEとしてベネッセIT子会社の多摩事業所に常駐していた。当時のベネッセ役員は「システムの開発を担当していた。かなりのベテランで中心的な役割だった」と語っている。

 元SEは2013年7月から2014年6月にかけ、月1~2回の頻度でベネッセの顧客情報を持ち出し、名簿業者に売却していた。顧客DBにアクセスできる貸与PCに私物のスマートフォンを充電目的で接続した際、スマホにデータをコピーできることに気付き、不正を始めたという。売却額は合計で数百万円とされる。

 2014年6月下旬、ジャストシステムが名簿業者から購入し、その情報を基にダイレクトメール(DM)を送付。DMを受け取った保護者から、ベネッセに対して「個人情報が漏れているのでは」と相次ぎ問い合わせがあった。ベネッセにしか登録していないはずの住所表記でDMが来たケースもあったという。

 ベネッセは流出の事実を確認して警視庁に相談。同庁はログ情報などから容疑者を特定し、2014年7月17日、元SEを不正競争防止法違反(営業秘密の複製)の疑いで逮捕した。

 元SEが漏洩させた顧客情報は総計3504万件。1件が保護者と子供の情報を含むことを計算に入れると、人数にして約4800万人、日本総人口の約4割に相当する。同社は対象の世帯に500円の金券配布の案内を含めたお詫び状を送付した。

「営業秘密に当たらない」と主張

 元SE側は公判で、顧客情報を流出させた行為は認めたうえで「(流出させた情報は)営業秘密にあたらない」と無罪を主張していた。

 2014年当時の法制度では、顧客データのような実体のない無体物の窃盗について罪に問うのは簡単ではなかった。CD-ROMなど有体物を通じて漏洩させたのであれば窃盗罪を適用できるが、私物のスマホにデータをコピーしただけでは窃盗罪を適用できない。そこで警察と検察は、不正競争防止法における「営業秘密の複製」の罪を元SEに適用した。

 ただし、あるデータが営業秘密と認められるには、データが秘密情報として適切に管理されている「秘密管理性」、事業上の価値がある「有用性」、公然と知られていない「非公知性」の3つを満たす必要がある。特にベネッセ事件では、同社が顧客情報を秘密情報として適切に管理していたかが争われた。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら