コラム
情報セキュリティインシデントに関する調査報告書のご紹介
2011年8月にNPO日本ネットワークセキュリティ協会(JNSA)から「2010年情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ 第1.4版」(以下「2010年版報告書」という)が公表されました。この報告書はJNSAセキュリティ被害調査ワーキンググループが作成し毎年公開情報として提供されるもので、個人情報漏えい事件・事故(以下「インシデント」という)に関する調査分析結果を纏めたものです。
2010年2月16日付のITSCコラムでは2008年版報告書をご紹介していますが、ここでは2010年版報告書から最新の情報をご紹介します。なお本ページの図表等の引用は2010年版報告書の引用に関する規定に拠ります。
2010年版報告書によると、地方自治体の公表件数の増加の影響もあり、漏えい件数は2007年以降増加しており2010年は1679件です。漏えい人数は2007年以降継続して減少しており2010年は557万人とのことです。この増減は一件当たりの漏えい人数が比較的小さなインシデントが増加しているためです。
図1と図2は漏えい媒体・経路で区分した発生件数と漏えい人数を示しています。発生件数では紙媒体が多数を占めますが、漏えい人数ではインターネット、USB等可搬記録媒体、PC本体が圧倒的に多くなっています。インターネットやUSBによるインシデントは漏えい人数が多大になり影響が大きくなることを示しています。
図1 漏えい媒体・経路別の発生件数(2010年) (引用)JNSA2010年情報セキュリティインシデントに関する調査報告書
図2 漏えい媒体・経路別の漏えい人数(2010年) (引用)JNSA2010年情報セキュリティインシデントに関する調査報告書
詳しく見るために2006年から2009年に公表された漏えい人数が50万人以上の大きなインシデントを表1に示します。表1の漏えい原因区分を見ると、紛失・管理ミスなど自己の問題に起因するインシデントが7件あります。このうち原因が管理ミスで、漏えい経路が紙媒体によるインシデントは内部統制の導入による紙資料の誤廃棄によるものですので一時的な現象の可能性があります。一方、内部犯罪・内部不正行為など悪意のあるインシデントが8件あり、この場合の漏えい経路はUSB等の可搬記録媒体やWeb/Netによるものです。
ITセキュリティセンターが評価機関になっているITセキュリティ評価及び認証制度(JISEC)、および試験機関になっている北米/日本暗号試験制度(CMVP/JCMVP)はUSB等の可搬記録媒体やWeb/Netなどにセキュリティ機能が適切に実装されていることを評価・認証するものです。認証条件に依りますが紛失や盗難、不正アクセスなどのインシデントが起きた場合であっても認証製品を使用することにより安全が確保されます。
表1 2006年から2009年に公表された50万人以上の漏えい人数のインシデント (参考)≪参照≫に示すNPO日本ネットワークセキュリティ協会の文献からITSCにて作成
公表年 | 業種 | 漏えい原因区分 | 漏えい経路 | 漏えい人数 | 漏えい項目 |
---|---|---|---|---|---|
2007 | 複合サービス事業 | 管理ミス | 紙媒体 | 14,430,000 | 口座番号 |
2007 | 製造業 | 内部犯罪・内部不正行為 | USB 等可搬記録媒体 | 8,637,405 | カード会員情報など |
2006 | 製造業 | 不明 | 不明 | 5,379,909 | 所有車情報 |
2006 | 情報通信業 | 内部犯罪・内部不正行為 | FD等可搬記録媒体 | 4,000,000 | 戸籍情報 |
2006 | 情報通信業 | 内部犯罪・内部不正行為 | FD等可搬記録媒体 | 3,996,789 | 氏名など |
2006 | 公務 | 紛失・置忘れ | FD等可搬記録媒体 | 1,760,000 | 屋号情報 |
2010 | 情報通信業 | 不正アクセス | インターネット | 1,735,841 | ゲーム用IDなど |
2009 | 金融業,保険業 | 内部犯罪・内部不正行為 | USB 等可搬記録媒体 | 1,486,651 | 年収区分など |
2008 | 公務 | 管理ミス | 紙媒体 | 995,023 | 納付税額など |
2007 | 金融業,保険業 | 管理ミス | 紙媒体 | 976,000 | 口座番号など |
2006 | 金融業,保険業 | 紛失・置忘れ | 紙媒体経由 | 960,000 | 口座番号など |
2006 | 卸売・小売業 | 盗難 | FD等可搬記録媒体 | 900,000 | 固定資産情報など |
2008 | 公務 | 管理ミス | 紙媒体 | 766,356 | 自動車税額など |
2008 | 卸売・小売業 | 不正アクセス | Web・Net | 653,424 | ログインIDなど |
2007 | 卸売・小売業 | 管理ミス | USB 等可搬記録媒体 | 649,574 | カードデータなど |
2006 | 情報通信業 | 不正アクセス | Web・Net経由 | 530,000 | ユーザーIDなど |
2009 | 金融業,保険業 | 管理ミス | USB 等可搬記録媒体 | 500,000 | 預金残高 |
≪参照≫
2010年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~ 第1.4版 2011年8月24日改訂(PDFファイル)
表1作成のために参照した上記以外の報告書(いずれもNPO日本ネットワークセキュリティ協会)