日本ネットワークセキュリティ協会(JNSA)は1日、「2005年度情報セキュリティインシデントに関する調査報告書」をWebサイト上で公開した。 JNSAの「情報セキュリティ被害調査ワーキンググループ」がとりまとめたもので、2005年における個人情報漏洩事件の公表件数や想定損害賠償額などを 算出している。記事を全て引用してしまって申し訳ない気もしますが、この記事で述べられていることはどれも非常に重要なことで削るわけにはいきませんでした。
報告書によれば、2005年1月から12月までに発生した情報漏洩事件は1,032件に上り、2004年の366件から約2.8倍の増加を示し た。一方、被害者数は881万4,735人で、2004年の1,043万5,061人から減少。事件1件あたりの平均被害者数も8,922人で、2004 年の3万1,057人から約3分の1に減少した。なお、約4,000万件超の顧客情報が流出した米CardSystems Solutionsの事例は、米国での事例ということで集計からは除いた。
漏洩件数が増加しているにも関わらず被害者数が減少している理由について、ワーキンググループでは「被害規模が数人程度の小さなインシデントの 占める割合が大きいため」と分析。特に、金融・保険業は監督官庁からの指導で、漏洩規模の大小にかかわらず報告・公表するため、小規模のインシデントの件 数増加の一因になったとしている。また、「過去の経験から、隠匿した後で漏洩の事実が発覚するよりも、積極的に公表した方が組織の信用を落とさずに済むと いう判断が働いている」と見ている。
ワーキンググループが策定した算出モデルによると、2005年における個人情報漏洩事件の損害賠償額は総額7,001億7,879万円で、事件 1件あたりの平均は7億868万円。総額は2004年の総額4,666億9,250万円から大幅に増加したが、1件あたりの平均は前年の13億8,897 万円から減少した。
情報漏洩の原因としては、盗難(27%)と紛失・置き忘れ(43%)が全体の7割を占めた。この傾向は前年と同じで、ノートPCや機密書類の入った鞄を盗まれたり紛失するケースが多い。なお、Winnyを経由した漏洩は全体の3%だった。
漏洩経路は、紙媒体(49%)とPC本体(16%)が圧倒的に多かった。ワーキンググループでは、「まずは機密情報を持ち出さない。持ち出す場 合は、常に身近に置いておくという人的な対応が基本となる。補助的な対策としては、PCやUSBメモリ内のデータを暗号化する方法も考えられる」とアドバ イスしている。
また、情報漏洩原因別の被害者数の比率については、原因と同様、盗難と紛失・置き忘れが8割を占めたが、3位には「内部犯罪・内部不正行為」が ランクイン。「内部の関係者は個人情報など重要情報にアクセスできる機会が多く、また時間をかけて収集することが可能であるため、内部の関係者が関わるイ ンシデントの被害は大きくなる傾向がある」と指摘している。
まず、情報漏えいの件数が増えていることについてですが、この記事でも述べられているように件数が増えたのではなく報告される率があがったと見るべきでしょう。また、情報漏えいの原因の7割が、紛失・盗難であるということですが、確かに件数はそうでしょう。しかし、件数でいうと1割にも満たない内部犯罪による情報漏えいが、情報漏えい被害者の7割を生み出しています。さらに、情報漏えいの漏洩経路に関しては紙媒体が半分となっていますが、ノートパソコンや簡易記憶媒体に保存可能な情報の量を考えると安易に紙媒体の対策のみに力を入れるわけにもいきません。情報漏えい対策というのは奥深いですね。
<参考>
2005年の個人情報漏洩事件は前年比3倍の1,032件、Winny漏洩は全体の3% NTERNET Watch 6月2日
0 件のコメント:
コメントを投稿