JNSA(NPO日本ネットワークセキュリティ協会)は7月7日、2012年の個人情報漏えい事件・事故の調査分析結果を公開した。2012年の漏えい件数は2357件、漏えい人数は972万65人。発生が多い業種は「金融・保険業」「公務」「教育、学習支援業」の順で、この3種で全体の8割を占めた。
この調査は、インターネット上に公開された個人情報漏えい事件・事故(インシデント)を手作業で集計し、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などを分類・評価するもの。2005年から毎年継続して行われており、2012年版は1年遅れの公開となったが、今後も調査報告は継続される。
■平均想定損害賠償額は4万4628円、最多業種は金融・保険業
2012年の漏えい件数は2357件(前年比806件増)、漏えい人数は約972万人(前年比345万人増)と、大きく増加した。想定損害賠償総額は約2133億円で、1件あたりの漏えい人数は4245人、1件あたりの平均想定損害賠償額は9313万円、1人あたりの平均想定損害賠償額は4万4628円と算出された。「1人あたりの想定損害賠償額」は、インシデントごとにJOモデル(JNSA Damage Operation Model for Individual Information Leak)を用いて算出されている。算出法の詳細は、下欄の報告書(本編)を参照されたい。
業種別のインシデント件数は、多い順に「金融業、保険業」46.6%、「公務」20.6%、「教育、学習支援業」12.8%で、全体の8割を占める。ただし、「公務」「教育、学習支援業」は、発生件数は多いが、1件あたりの漏えい人数は小規模だ。漏えい人数が突出して多い業種は「情報通信業」で、次に「金融業、保険業」「製造業」が続く。
■ヒューマンエラー対策、「悪意ある内部者」対策を
漏えいの原因は「管理ミス」「誤操作」「紛失・置き忘れ」で全体の9割を占め、ヒューマンエラー対策が重要となる。1件あたりの人数が最も多いのは「設定ミス」で、1件あたり約4万人の情報が漏えいした。これは、スマートフォン(スマホ)用電話番号検索アプリが引き起こしたインシデントの漏えい人数の多さ(76万人)が影響している。「不正アクセス」1万9033人、「内部犯罪・内部不正行為」4666人、「不正な情報持ち出し」2772人など、悪意による漏えい原因も1件あたりの人数の多さが目立つ。
ファイルやデータベースを操作しえる立場にある者が悪意をもった場合、漏えい規模は大きくなる。今月7日に公表されたベネッセホールディングスの漏えい事件も内部者の関与が指摘されており、確定漏えい人数760万件(可能性は最大2070万件)と、前例がないほど大規模なものとなった。IPAは、組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを呼び掛けている(下欄参照)。
■詐取方法の変化--企業だけでなく個人が負うリスクも増大
2012年には、インストールすると勝手に電話帳情報を抜き出してしまう不正アプリなど、個人から情報が詐取される事件も相次いだ。報告書は、これまでは企業のIT環境から個人情報が漏えいするリスクが大きかったが、今後は個人のIT環境に蓄積された個人情報が漏えいするリスクも増大するとして、スマホ利用者のセキュリティリテラシー向上の必要を訴えている。
(2014/07/11 ネットセキュリティニュース)
【関連URL】
・2012年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~(セキュリティ被害調査ワーキンググループ)(JNSA)
http://www.jnsa.org/result/incident/index.html
・本編[PDF](JNSA)
http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.0.pdf
・付録[PDF](JNSA)
http://www.jnsa.org/result/incident/data/2012_apx.pdf
・お客様情報の漏えいについてお詫びとご説明[PDF](ベネッセホールディングス)
http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf
・組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!(IPA)
http://www.ipa.go.jp/security/announce/20140710-insider.html