頻発する情報漏えい事件 その原因と対策(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

頻発する情報漏えい事件 その原因と対策(2)

特集 特集

(3)被害?

 漏洩による被害は大きい。これまでのところ、さすがに民事訴訟(損害賠償請求)などが直にくることは無いようだが、それでもコンビニエンスストアの事例のように1件あたり1000円などの補償金?を数十万人にいっせいに支払う場合、その支払いだけで数十億円が一気に吹っ飛んでしまう。さらにその上に同様の被害を繰り返さないようにするための仕掛け、仕組みを入れると追加で10億くらいは平気でかかってしまう。

 これまで最大規模の漏洩件数となったYahoo!BBのケースでは漏洩1件あたり500円で23億、さらに別途セキュリティ強化のために予算を組み、合わせて40億以上と報道されている。一方で判例として出ている(まだ係争中)京都府宇治市の場合、漏洩一件あたり賠償は1万円(裁判費用5000円という冗談のような数字がこれに付加されて、それで15000円)だ。京都府宇治市の場合、損害賠償請求を起こしたのは市議3人でしかないため、市が払ったとして45000円にしかならないわけだが、判例として出ている金額とローソンが先鞭をつけた500円とでは大きな開きがある。仮にそのギャップを、高いほうに合わせて埋めるべき、となるとどうだろうか?5000円としてYahoo!BBの場合230億円、10000円ならば460億円ということになる(いざ漏洩させてしまうと460億円もの価値を持つかも知れないデータを取り扱っているという意識が、果たして管理側にはあるのだろうか?)。

 ちなみに、京都府宇治市に近い計算モデルとしては、日本ネットワークセキュリティ協会(JNSA)の被害調査WGによる試算モデルがある。これは「被害者に対する慰謝料」(注:これは例えばこのような形で設定する。基本的な個人情報=100、特徴的な個人情報(3種類以下)=500、特徴的な個人情報(4種類以上)=1000)と「個人情報提供の同意の有無」、「情報提供者との関係」、「情報漏洩元組織の社会的信頼度」、そして「事件後の対応姿勢」などの要素をかけあわせて漏洩1件あたりの補償金額を試算するもので、最大で24000円になる。( http://www.jnsa.org/active1a.html )24000円となると、Yahoo!BBの場合で1200億弱。これだけ支払える組織なんてきわめて少数しか存在しないだろう。

 取り扱う情報の件数にもよるが、20万件のユーザーデータを集める場合、1000円で2億、10000円で20億という数字は最大リスクとしてどこかで意識すべきだろう。(意識すれば、たかが数百万からのセキュリティ対策予算をケチることもないはずだ)

 同じJNSAの報告書の中には、株価の下落分の損についても提案がなされている。試算式は2種類あり、
影響額(1)=自社株価×(0〜9%)×発行株数
影響額(2)=6〜9円×発行株数

というものだ。下落のパーセンテージ、金額は、市場の総体変動分を考慮して抽出されている。

 あるいは、業務停止分の損失を、年間売上高/365×停止日数で出すという考え方もある。ジャパネットたかたの例で言えば、漏洩発覚時点で全業務を停止、原因究明に努めている(2004年4月下旬現在、停止期間47日間。2004年4月25日より再開予定)。この間の業務停止による被害金額は700億円*1.5/12=87.5億円であった。


【執筆:園田道夫】

◇参考:
 頻発する情報漏えい事件 その原因と対策【第1回】(2004.6.23)
https://www.netsecurity.ne.jp/article/3/13369.html

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×