Langley の日々これ口実コラム経営者必見！サイバーノーガード戦法 2008 第3回「個人情報漏えいの損害賠償は恐い？」

　サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。

特集特集

2008年11月18日（火） 16時40分

　サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。

●多くの企業にとって損害賠償リスクはサイバーノーガード戦法の妨げにはならない

　多くの企業では損害賠償が怖いと思っているような気がする。

　そこで前回の「デメリット　その2」で触れた損害倍書は怖くないということを少し整理してみよう。

　「2007年情報セキュリティインシデントに関する調査報告書」（NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ作成、2008年9月5日改訂）によれば、2007年の想定損害賠償総額は2兆2,714億1,060万円という莫大な金額になっている。一人当たり平均想定損害賠償額は3万9,017円、一件当たり平均想定損害賠償額27億9,386.3万円となっている。

　「2007年情報セキュリティインシデントに関する調査報告書」
　（NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ作成、2008年9月5日改訂）
http://www.jnsa.org/result/2007/pol/incident/index.html

　この数字を見ると「損害賠償怖い！」と思う人も少なくないだろう。1回インシデント起こしたら、27億9,386.3万円も払うハメになるなんて、中小企業の経営者だったら、恐ろしいことこの上ない。

　しかし、ちょっと待って欲しい。本当にそんな金額が発生するのだろうか？こういう統計数値を見てしまうと、びびったりしてしまうが、落ち着いて考えてみよう。

　よく報告書を見てみると、統計の見せ方で損害賠償が高く見えるようになっているらしいことがわかる。

　別な数値をチェックすると、1件当たりの損害賠償金額100万円以下は全体の43.3%と半数近くなっている。つまり、実際のインシデントでは100万円以下の損害賠償が多数あり、全体の平均値が大きいのは莫大な損害賠償金額の数少ないインシデント事件に引っ張られているためだとわかる。これだけ偏った分布の数値を出す場合は、ばらつきを表す標準偏差や中央値も掲載して平均値だけ一人歩きしないようにするものだと筆者は思うのだが、どうなんだろう。

　そして、100万円という金額は、セキュリティのわかる技術者を採用したり、本格的なセキュリティ関連のツールを導入したり、規格や認証をとろうして外部コンサルを頼むよりもはるかに安い。

　つまり、逆説的にいうと大規模に個人情報を集積していない限り、多額の賠償金額で困るようなことはないと考える経営者がいても不思議ではない。

　また、漏えい規模を見てみると、個人情報の漏えい人数が、500人未満のケースが全体の64.6%を占めている。圧倒的に規模の小さなインシデントの方が多いのである。

　しかも、漏えい原因のトップは管理ミスとなれば、高価なセキュリティ投資がどこまで有効なのか、判然としなくなってくる。

　そういえば、自慢じゃないが、筆者も個人情報漏えい事件の被害者になったことがあるのだが、3万円なんて多い金額をもらったことはない。ここの数値は、あくまでも推計値、理論値として見た方がよさそうである。

　この報告書はセキュリティベンダが集まる業界団体が作成している。このことを考えると、想定損害賠償総額は2兆2,714 億1,060万円と莫大な金額にも納得がゆくのである。この想定損害賠償総額の大きさが新たなセキュリティ市場を開拓するテコにねらっているのであろう。

　余談ではあるが、この手の調査というのはいろいろな視点で加工と解釈ができるものである。例えば、あくまで推測であるが、調査データでは企業のセキュリティ投資と損害賠償金額の大きさは比例しているのではないかと思う。セキュリティ投資が大きいほど支払う損害賠償金額も大きくなるという矛盾した関係である。これは見せ方によっては、多額のセキュリティ投資はあまり有効ではないという論拠になる。

　しかし、実際にはそうではない。セキュリティ投資と損害賠償金額のどちらも事業規模と強い相関関係を持つと思われる。なので、事業規模をわざと外して、セキュリティ投資と損害賠償金額の2つの関係だけを見ると比例しているという、矛盾が成立してしまった可能性が高い。

　本来は3つの相関関係で説明しなければならないものを2つだけ取り上げて説明するために、おかしな結論になるというのは統計でよく見られる誤謬である。典型的な例としては、キャンディと結婚の例がある。ある調査で女性の結婚がキャンディの好き嫌いに大きな関係があることがわかった。結婚している女性はキャンディをあまり好まず、結婚していない女性はキャンディを好む傾向があるというのだ。しかし、これには第3の要因＝年齢がかかわっていた。

　正しくはキャンディは年齢が高くなるほど、あまり好まれなくなる。年齢が高いほど結婚している率が高くなる。キャンディの好き嫌いと結婚の両方とも年齢という第3の要因に強い相関関係をもっていたため、見かけ上、キャンディの好き嫌いと結婚にも相関関係が見られてしまったのである。

　ことほど左様に、データは解釈によって、まったく違う見え方をしてくる。

　ここでちゃんと事業規模を第3の要因として解釈するか、それとも事業規模をはずして矛盾した関係を強調するかは、立場によって異なってくるだろう。
（つづく）

【執筆：Prisoner Langley】

（※筆者注：本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。）

【関連記事】
Langley の日々これ口実コラム経営者必見！サイバーノーガード戦法 2008
第1回「サイバーノーガード戦法 3つの魅力」
https://www.netsecurity.ne.jp/7_12386.html
Langley の日々これ口実コラム経営者必見！サイバーノーガード戦法 2008
第2回「サイバーノーガード戦法 3つのデメリット」
https://www.netsecurity.ne.jp/7_12428.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/

《ScanNetSecurity》