コラム
2008年情報セキュリティインシデントに関する調査報告書のご紹介
2009年11月にNPO日本ネットワークセキュリティ協会(JNSA)から「2008年情報セキュリティインシデントに関する調査報告書 Ver.1.3(改訂版)」が公表されました。この報告書はJNSAセキュリティ被害調査ワーキンググループが作成し毎年公開情報として提供されるもので、個人情報漏えい事件・事故(以下インシデントという)に関する調査分析結果を纏めたものです。
報告書では個人情報漏えい事件・事故に関して新聞やインターネットニュースなどの公開情報からデータを収集して様々な角度から分析しています。また個人情報漏えいによる想定損害賠償額の算定モデル(JOモデル:JNSA Damage Operation Model for Individual Information Leak)による損害賠償額が試算されていますのでご紹介します。なお本ページの図表等の引用は報告書の引用に関する規定に拠ります。
個人情報漏えいの件数を原因別に表した図1では誤動作、管理ミス、紛失・置忘れの順に件数が多くなっています。漏えいした人数を表した図2では管理ミス、不正アクセスの順になっています。不正アクセスが、その原因件数が少ない(図1では0.7%)にもかかわらず漏えい人数が多い(図2)のは、図3に見るように不正アクセスによる漏えいは一件あたりの漏えい人数が格段に多いためです。報告書では管理ミスに対する対策と同時に不正アクセスへの対策についても優先順位を上げるべきとしています。
なお、不正アクセス対策については情報処理推進機構のホームページに詳しく掲載されており、対策のほかに、不正アクセス届出状況、関連法規(不正アクセスの禁止に関する法律)・基準、関連資料などが記述されています。
図1 漏えい件数の原因比率(2008年)
(引用)JNSA2008年情報セキュリティインシデントに関する調査報告書
図2 漏えい人数の原因比率(2008年)
(引用)JNSA2008年情報セキュリティインシデントに関する調査報告書
図3 漏えい原因別の一件あたりの漏えい人数
(引用)JNSA2008年情報セキュリティインシデントに関する調査報告書
次に同書および「2003年情報セキュリティインシデントに関する調査報告書」に報告されているJOモデルと損害賠償額の試算をご紹介します。JOモデルは個人情報を取り扱うことの潜在的なリスクを数値的に把握するために提案されたものであり実際の賠償額ではありません。想定損害賠償額は、「基礎情報価値、機微情報度(氏名、電話番号などの種類)、本人特定容易度を含む“漏えい個人情報の価値”」、「業種などを考慮した“情報漏えい元組織の社会的責任度”」および「公表、セキュリティ対策の改善などの要素を含む“事後対応評価”」の要因を基準として算定しています。
図4はJOモデルによる想定損害賠償額を示しており毎年数千億円に上る額の損害が発生しています。2007年(横軸は公表日を示しているためインシデント発生日とは異なる場合があります)は複合サービス事業と製造業でそれぞれ1400万人、800万を超えるインシデントが算入されているため想定損害額が突出していて2兆円を超えています。
図4 JOモデルによる想定損害賠償額(右軸は漏えい人数、nはインシデント数)
(引用)JNSA2008年情報セキュリティインシデントに関する調査報告書
≪関連サイト≫