企業経営を脅かすリスクをして近年注目を集めている情報漏えいとそれに伴う損害賠償のリスク。JNSAの発表によると、2017年個人情報漏えいインシデントの件数は386件、想定損害賠償総額は1,914億2,742万円という結果となり、損害賠償額の大きさを再認識することとなりました。多額の損害賠償だけでなく、企業の社会的信用や競争力の低下など、情報漏えいがいかに多大な損害を及ぼすかを知り、情報漏えいを防ぐための対策も考えていきましょう。
企業経営を脅かすものとして、近年は情報漏えいに伴う損害賠償リスクが注目を集めています。情報漏えいは、多額の損害賠償の発生だけでなく、企業の社会的信用の失墜や競争力の低下など、大きな損失をもたらす可能性があります。 そこで今回は、想定される損害賠償額などから情報漏えいがいかに多大な損害を及ぼすものなのかを解説し、情報漏えいを防ぐための対策をご紹介します。
個人情報が漏れることで想定される損害賠償額
情報漏えいによる損害の大きさを実感するために、想定される損害賠償額についてみていきましょう。
年間の想定損害賠償総額は約2,000億円
JNSA(日本ネットワークセキュリティ協会)の調査によると、2017年の情報漏えいインシデントは下記の表で表されます。
漏えい人数 | 519万8,142人 |
インシデント件数 | 386件 |
想定損害賠償総額 | 1,914億2,742万円 |
一件あたりの漏えい人数 | 1万4,894人 |
一件あたり平均想定損害賠償額 | 5億4,850万円 |
一人あたり平均想定損害賠償額 | 2万3,601円 |
一件あたりの平均想定損害賠償額が5億4,850万円ということは、1社が平均して5億円以上という多額の損害賠償を支払うことになると想定できます。この金額だけを見ても、情報漏えいで起こりうる損害の大きさはけして軽視できないということがお分かりいただけるでしょう。
損害賠償の他にも、ネットワークの停止や営業活動の中断、情報回復のための対策費用の増大と、企業への直接的な被害は計り知れません。
[※1]JNSA:2017年情報セキュリティインシデントに関する調査報告書
想定損害賠償額の計算方法
JNSAが過去の判例分析から作成した想定損害賠償額の算出方法をご紹介しますので、もし知りたい事例があれば、あてはめて算出してみてください。[※2]
損害賠償額 = 基礎情報価値[500] × 機微情報度 10^(x – 1)+ 5^( y - 1) × 本人特定容易度 [6,3,1] × 情報漏えい元組織の社会的責任度 [2,1] × 事後対応評価 [2,1]
*基礎情報価値: 一律500ポイント
*機微情報度: 漏えい情報の種類によりxは経済的損失レベル、yは精神的苦痛レベルの3段階の数値が代入されます。このレベルはEP図(Economic-Privacy Map)で表されます。
*EP図(一部抜粋):
精神的苦痛 | ||||
---|---|---|---|---|
レベル1 | レベル2 | レベル3 | ||
経済的損失 | レベル3 | 口座番号と暗証番号 クレジットカード番号とクレジットカード有効期限 | 遺言書 | 前科前歴 犯罪歴 与信ブラックリスト |
レベル2 | パスワード情報 口座番号のみ クレジットカード番号のみ | 年収・年収区分 所得 資産 借金 | ||
レベル1 | 氏名 住所 生年月日 住民票コード | 健康診断結果 病歴 スリーサイズ 学歴 | 加盟政党 本籍 宗教 信条 |
*本人特定容易度:
個人を簡単に特定可能 | 6 |
---|---|
コストをかければ個人が特定できる | 3 |
特定困難 | 1 |
*情報漏えい元組織の社会的責任度:
一般より高い(医療、金融、公的機関など) | 2 |
---|---|
一般的 | 1 |
*事後対応評価:
適切な対応 | 1 |
---|---|
不適切な対応 | 2 |
不明、その他 | 1 |
例えば、自治体が氏名・住所などの情報を漏えいしてしまった場合には、経済的損失レベルxも精神的苦痛レベルyも1ですから、
機微情報度=10^(1―1)+5^(1―1)=2
となり、これを全体の式に当てはめ、
500×2×6×2×1=12,000
となります。
つまり1人当たり12,000円の賠償額が想定されるということです。もしも1万人のデータが漏えいした場合、総額で1億2,000万円と、多額の想定損害賠償額となります。
[※2]JNSA:情報セキュリティインシデントに関する調査報告書[pdf]
社会的信用の低下に伴うビジネスチャンスの喪失
情報漏えいは、損害賠償の発生だけでなく、社会的信用の失墜やブランドイメージが損なわれるというダメージをも生じさせます。そうなると、顧客の減少、取引縮小、競争力低下、ビジネスチャンスの喪失という大きな痛手を負うことになります。
例として、2014年に発覚したベネッセコーポレーションの個人情報流出事件についてみてみましょう。この事件で流出したと考えられる個人情報は2000万件以上という大規模なものであったこともあり、顧客離れが起き、ベネッセは経営に深刻な打撃を受けました。
ベネッセの進研ゼミの会員数は、2014年4月の時点では365万人でしたが、個人情報流出事件の翌年2015年4月には271万人と、1年間で約94万人も会員が減少。こうした影響で、2015年3月連結最終損益は107億円の赤字に転落し、ベネッセは大きな代償を支払うこととなりました。
このように、情報漏えいが与えるマイナスの影響は多大なものとなります。そのため、情報漏えいが起きる原因を探り、情報漏えいしないデータの管理をして未然に防ぐことが大切です。
情報漏洩を防ぐための3つの対策
個人情報漏えいの要因トップ3は、誤操作、紛失・置き忘れ、不正アクセスです。[※3]
これらを踏まえて充分な情報セキュリティ対策を行いましょう。
対策1.危機管理の自動システムを導入
人の能力には限界があるため、システムを活用して情報漏えいを防ぐ対策が必要といえるでしょう。例えば、自動的にチェックを行って問題のあるメールを発信できないようにする仕組みや、アクセス制限のためにパスワードだけでなく生体認証などを導入してみてはいかがでしょうか。
対策2.24時間の監視とシステムの新しい構築
不正アクセスに対して24時間の監視を行うシステムや、日々新しくなるサイバー攻撃の脅威に対して、自動的に情報を分析して対策を行うシステムの構築が必要になってきます。
対策3.ネットワークを業務と分離させてサイバー攻撃、情報持ち出しを防ぐ
個々のパソコンにデータを入れて持ち出していると、紛失すれば情報漏えいにつながる可能性が。そのため、ネットワークを業務の環境と分離できれば、標的型のサイバー攻撃に対しての有効な対策となり得ます。
ネットワーク分離環境における、安全なデータ受け渡しをサポートする「Crossway/データブリッジ」であれば、異なるネットワーク端末間において、USBケーブルで端末同士を接続状態にしている場合に限定してデータの受け渡しが可能。電源オフ、USBケーブルの引き抜きだけで自動的にデータが消去されるため、持ち出しなどの不正利用も防止します。
さらに、マルウェアが侵入するおそれがあるマクロ領域などを削除し、基幹系システムへのマルウェア感染を防止しつつ安全なファイルの受け渡しを叶える無害化オプションとの連携も可能。情報漏えいと業務効率化が求められる金融機関、機密情報を扱っている部署、自治体には最適の機器です。