日本ネットワークセキュリティ協会(JNSA)は1日、「2009年度情報セキュリティインシデントに関する調査報告書」を公表した。この報告書において、インシデント件数の取り扱い方が前年と一部変わったため、減少したはずの件数が増加してしまう逆転現象が起きていることが、編集部の調べで分かった。
この調査は、同協会のセキュリティ被害調査ワーキンググループが毎年行っているもので、新聞やネットニュースなどで報道された記事、組織からのリリースなどをもとに、その年1年間に起きた個人情報漏えい関係の事件や事故を集計している。それによると、2009年の漏えい件数は、前年から166件増加し、過去最高の1539件を記録した。報告書では、その要因として「金融業・保険業」のインシデント公表件数の大幅な増加や、それに伴う「管理ミス」の増加を2009年の特徴として挙げている。
■2009年の特徴的な集計値
以下の数値を見れば、確かにその通りの大きな変化がみてとれる。(カッコ内は前年比)
◎インシデント数:1539件(+166件)最多
・「金融業・保険業」のインシデント数:626件(+467件)、業種比率40.7%(+29.1%)
・「管理ミス」のインシデント数:784件(+479件)、原因比率50.9%(+28.7%)
しかしながら、同様の調査を行っている当編集部の集計では、公表・報道された件数は2007年をピークに減り続けており、2009年の金融・保険業の前年比も、他の業種と同様に減少している。なぜこのような異なる結果が出たのだろうか。
編集部の「件数」は、企業などの報告回数(続報は含まず)とほぼ同義で、複数件の事故をまとめて報告したものも暫定的に1件と数えている。どちらの調査にも大きな手違いはないと仮定すると、両者の食い違いは、複数件の事故がまとめて報告された場合の件数の数え方の違いに起因すると推測される。大量の事故がまとめて公表されたり、その手の報告が多かったりすると、編集部の集計では減少し、同協会の集計では増加するという、正反対の結果が生じる可能性がある。
そこで、とりあえず協会の調査報告の中から、「金融業・保険業」に分類されたこの種のインシデントのカウント方法を調べてみた。すると、銀行などが全店で実施した保管書類の点検結果の扱いが、前年の調査報告と今回の調査報告とで違っていることが判明した。
■前年と異なる「金融業・保険業」のカウント方法
銀行などが全店実施する保管書類の点検報告は、事故の発生時に個別に出される報告と違い、後から分かった結果だけが公表される。紛失物や関係する支店などの明細が添えられていることもあるが、いつ、どんな事故が何回起きたのかは、当事者ですら把握できないものが多い。
前年までの協会の調査報告では、銀行などの点検結果については「管理ミス」に分類した1件のインシデントとして扱っていたが、今年の調査報告では、これを支店数分のインシデントとして計上したり、紛失物ごとに関係する支店数分のインシデントとして計上している。銀行などの点検結果には、多数の店や紛失物を含んだものがあるので、このようなことをしたら、「金融業・保険業」の「管理ミス」がいきなり増大してしまう。
この種の曖昧なデータをどう扱うかは、集計者の考え方によるが、数え方の異なる数値は単純に比較したり演算することができないという点に注意を要する。ひとつの集計内に混在したり、比較する集計間で違えてはいけないということだ。協会の調査報告は、それを無視して、数え方の違う以前の集計結果と今回の結果とを比較している。件数や占める割合の変化を見るのであれば、件数の数え方は一貫していなければいけない。
■検証
数え方の違いは、今回の集計結果にどれくらいの影響を及ぼしているのだろうか。数え方を揃えると、実際の集計結果はどう変わるのだろうか。正確なところは、協会に同じ数え方で再集計していただかないと分からないが、突出部分をある程度正せば、状況が把握できるようになるだろう。
そこで、2008年と2009年のデータの中から、全体への影響の大きいものを修正し、前掲の「2009年の特徴的な集計値」の項目がどうなるかを検証してみた。(次の記事へ続く)
(2010/07/05 ネットセキュリティニュース)
【参考:日本ネットワ-クセキュリティ協会】
・2009年度 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/2009.html
・2008年度 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2008/surv/incident/index.html