JNSAの2009年情報セキュリティインシデントに関する調査報告書

JNSAから2009年度 情報セキュリティインシデントに関する調査報告書が公開されていたのでメモ。

JNSAが情報セキュリティインシデントに関する調査報告書を公開（JNSA）（Scan） - Yahoo!ニュース

報告書によると、2009年の個人情報漏えいインシデントの漏えい人数は572万1,498名、インシデント件数は1,539件、想定損害賠償総額は3,890億4,289万円であった。これより算出される1件あたりの漏えい人数は3,924名、1件あたりの平均想定損害賠償額は2億6,683万円、1人あたりの平均想定損害賠償額は4万9,961円となっている。漏えい件数は増加しているが、漏えい人数は減少している。業種別では金融業・保険業が40.7％と最も多く、原因は「管理ミス」が50.9％とほぼ半数を占めた。

想定損害賠償額がちょっと耳慣れないのと、１人当たりの賠償額が約５万についての納得感がいまひとつだったので、レポートの詳細を調べてみたところ、この数値はレポート中に出てくる想定損害賠償算定式というモデルに当てはめて得られた値なので、実際の損賠賠償額とどれほど一致しているのかについては良く分かりませんでした。実際には賠償額が公表されていない事も多いので確認のしようもないのだと思いますが。

JOモデル（JNSA Damage Operation Model for Individual Information Leak)^*1

損害賠償額　＝　漏洩個人情報価値　×　情報漏洩元組織の社会的責任度　×　事後評価対応
　　＝　（基礎情報価値　×　機微情報度　×　本人特定容易度）×　情報漏洩元組織の社会的責任度　×　事後評価対応
　　＝　（ [500] × [Max(10^max(x)-1+5^max(y)-1)] × [6,3,1] ）× [2,1] × [2,1]
　　※x,y は [1,2,3]

ちなみにこのモデルだと想定損害賠償額は1,000円^*2～1,500,000円^*3と見積もられるようです。このモデルでは情報のうち最もセンシティブなものだけを評価し、漏洩した個人情報の項目数や組み合わせについては加味されていません。p.29では漏洩情報の組み合わせ出現確率を求めたりしてるんですけどね。

また、宇治市住民基本台帳データ大量漏洩事件の控訴審判決を元に算定式を作り、Yahoo!BBとTBCで評価を行ったらしいのですが、評価結果については同程度の数値が得られたとの記載しかなく、モデルとしての信頼性がどのように担保されているのかについての説明も不十分なように思います。個人的ににはこの値を損害度もしくは損害指数と呼べても、損害額と名づけてしまうのはちょっと乱暴ではないかと思います。

• ^*1: NPO日本ネットワークセキュリティ協会, "2009年度 情報セキュリティインシデントに関する調査報告書 Ver.1.0," p.52, 2010.
• ^*2: 500 * (10^0 + 5^0) * 1 * 1 * 1
• ^*3: 500 * (10^2 + 5^2) * 6 * 2 * 2