Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(1)

特集 特集

 特定非営利活動法人日本ネットワークセキュリティ協会による「2008年情報セキュリティインシデントに関する調査報告書」が発表された。筆者は同報告書の昨年版についても分析記事を寄稿したが、2008年度版も目を通してみた。

2008年情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2008/surv/incident/
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

●2008年度の傾向

 この報告書によれば、2008年度のインシデントには、おおまかに下記のような傾向が見られたという。

1)漏えい件数は、2007年度に対して2008年度は1,373件とプラス509件だった

2)漏えい人数は、2007年度の3,053万1,004人から、大幅減少の723万2,763人だった。その理由は百万人を越える大規模漏えいがなかったためとしている
3)突発的に発生する大規模インシデントで漏えい人数や損害賠償金額などは大きく変化する。そのため、経年の傾向をとらえにくい。と、書いてあるが、それは後述のように明らかにおかしい。やり方が悪いからそうなっているだけで、経年変化を見たいのであれば、その方法はある

4)漏えい原因では、「誤操作」「管理ミス」の件数が増加した

 これだけ見ると、それなりに傾向がわかって役に立ちそうな気がしないでもない。しかし、見かけに騙されてはいけない。問題点満載なのであるが、そのうち大きなものを紹介する。

●理解不能な損害賠償金額の計算〜セキュリティ予算奪取のための計算方法?

 この報告書の一番のウリは、独自の損害賠償金額の推定のようである。独自の計算方法で、実際には損害賠償金の発生していないようなものにも金額を計算して積み上げているのである。推定というよりは、フィクションであると筆者は思う。

 「4 2008年想定損害賠償額の算定結果」という章に、その計算方法と結果の詳細が掲載されている。中でも、特筆すべきは、36ページにある「【一人あたりの平均想定損害賠償額について】」である。まずは、報告書に記載されている平均値の計算方法をご覧いただきたい。

 2つのインシデントがあって、片方は賠償対象者1名で金額は100万円、したがって賠償総額も100万円。もう一方は、賠償対象者が100名で1件あたり1万円、損害賠償金額は100万円となる。

 普通の平均値の計算方法では、合計金額を合計人数で割るので、1.98万円となる。

 (100万円+100万円)÷(1人+100人)=1.98万円

 これに対して、この報告書で採用している計算では、1件あたりの金額の平均値で計算している。つまり、

 (100万円+1万円)÷2件=50.5万円

である。

 これだけだとピンとこない方もいらっしゃると思うので、筆者が別の例を考えてみた。損害賠償金額というとわかりにくいが、ボーナスとか給料とか、身近なものに置き換えて見るとその差がわかる。

【例】ポテトチップの1袋あたり平均価格

特別なプレミアムポテトチップ
──┬───────
個数│1袋
金額│1袋あたり1万円
──┴───────

普通のポテトチップ
──┬───────
個数│100袋
金額│1袋あたり100円
──┴───────

◆この報告書の平均計算方式によるポテトチップの平均価格
(1万円+100円)÷2袋=5,050円

◆普通の平均計算方式によるポテトチップの平均価格
(1万円×1袋+100円×100袋)÷(1袋+100袋)=198円

 約5,000円と約200円。全然違う。同じ平均値、しかも、同じ1袋あたりの平均価格で、ここまで違うというのは、誤差とかそういう問題ではない。明らかにどちらかがおかしいのである。

 ちなみに一般的には後者の「合計金額÷合計数」の計算方法を使う。いや、というか、平均値の平均値を取るというのは、数値としてブレが大きくなるから、やらないことになっている。

 この報告書では、この数値を…(次回につづく)

【執筆:Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×