2018.01.31情報漏えいに関して情報セキュリティ
著者 コムソルセキュリティ調査委員会
2014年2015年と日本では大規模な個人情報の漏洩が発覚しましたが、最近は大きな情報漏えいは無いのでしょうか?全くそんなことは無く、メディアが追いかけるほどでは無いにしても、ほぼ毎日のように情報漏えいは報告されています。
http://www.security-next.com/category/cat191/cat25
ここに記載されているもは、搾取されたものだけではなく、人的ミスや紛失なども含まれていますが、かなりの量の漏洩事故が起きています。ここにはインシデントとして報告、届け出されたものだけとなります。届け出されなかったような些細なインシデントまで含めるとたぶん相当数になるのではと考えられます。
昨年、2017年に起きた情報漏えいで数万件を超えているものをピックアップすると・・・
- 某クレジットカード系会社がサイバー攻撃により個人情報(クレジットカード情報を含む)を漏洩 およそ70万件超
- 某化粧品会社が不正アクセスのため個人情報(一部クレジットカード情報を含む)を漏洩 およそ47万件超
- 某テレビ局でサイバー攻撃に寄る個人情報漏えい およそ37万件
- 某情報提供会社が不正アクセスにより個人情報(クレジットカード情報を含む)を漏洩 およそ15万件超
- 国立大学で不正アクセスが原因で個人情報漏洩 およそ8万件
- 某アプリ提供会社がシステムミスにより個人情報(クレジットカード情報を含む)を漏洩およそ5万件超
- 旅行会社がシステムミスにより個人情報漏洩 およそ2万件
ざっくりとピックアップしても大量流出事故はこれだけあります。上記は不正アクセス、サイバー攻撃が5件でシステムのミスによる事故が2件です。不正アクセスとサイバー攻撃がどう違うのか?と思いませんでしょうか。たぶん、不正アクセスにもサイバー攻撃は含まれると思いますし逆もしかりです。可能性としては不正アクセスと表現している場合は内部を含む可能性が高いと考えています。逆にサイバー攻撃は外部からの攻撃だとはっきりと分かっているものをそう表現しているのだと。
さて、世界に目を移してみます。世界では2014年から2016年の間に71億人分の個人情報が漏洩しています。世界人口が76億人ということはネットにアクセスすることが可能な人は少なくともこの3年間で一度は情報が漏れたということでしょうね。
では、企業はこの漏洩事故を起こすとどうなるのか?
まずは本業への影響がとても大きいでしょう。取引先への説明に時間を取られとても通常業務を行えるレベルでは無いと思われます。また、それに付随して原因究明、報告公表発表、復旧のための措置、二次防止策の策定などに加えて損害賠償も加わってくる可能性があります。やはり企業としては予防策をきちんと対策しておくことが重要かと思われます。
個人への損害賠償金額ですが、これはJNSAさんがまとめられている資料があります。実際の裁判結果を見てもこの算出方法が利用されているような形跡が見受けられます。 http://www.jnsa.org/result/incident/data/2016incident_survey_attachment_ver1.0.pdf
要約すると、損害賠償金額は漏洩した個人情報の価値とその企業の社会的責任度合い、それに事後対応をどれだけきちんと行ったか、ということでその金額が決められるようです。判定基準などもしっかりと記載されていますので、参考にしてみてください。
損害賠償額=基礎情報価値[500]
x機微情報度
x本人特定容易度
x情報漏えい元組織の社会的責任度
x事後対応評価
機微情報度というのが少しわかりにくいと思いますが経済的損失レベルと精神的苦痛レベルと縦軸とよく軸にならべ、どこにプロットされるかで決まってくるようです。例えば、経済的損失度は氏名、電話番号は「1」ですが、暗証番号付きの口座番号などは「3」になります。また精神的苦痛レベルの「3」は政党や保有感染症などです。両方共「3」になるのは前科歴、与信ブラックリストなどとなっています。詳細は上記サイトからPDFを参照ください。
このことから、日頃からセキュリティの運用をきちんと行っていれば、たとえ不測の事態に陥ったとしても被害を最小限に抑えることができるのではないかと思います。
情報セキュリティ一覧へ戻るこちらよりお気軽にご相談ください。