ITmedia NEWS >
ニュース
» 2010年07月05日 07時00分 UPDATE

不正行為やリムーバブルメディアで情報漏えいの被害が拡大――2009年のトレンド

日本ネットワークセキュリティ協会の報告書によれば、リムーバブルメディアや不正アクセス、内部犯行が関係するインシデントで大きな被害が発生しているという。

[國谷武史,ITmedia]

 2009年に発生した個人情報が漏えいする事故や事件(以下、インシデントとする)にはどのような特徴が見られるのだろうか――。日本ネットワークセキュリティ協会(JNSA)のセキュリティ被害調査ワーキンググループが取りまとめた「2009年度 情報セキュリティインシデントに関する調査報告書」では、インシデントの発生要因と漏えい経路、被害規模などの関係について分析している。

 JNSAは毎年、報道された個人情報の漏えいインシデントの集計と分析を行っており、今回で8回目となる。2009年のインシデント件数は前年比166件増の1539件で、過去最高だった。漏えい人数は同152万人減の約572万人で、2年連続で減少した。JNSAによれば、漏えい人数が10万人を超える大規模なインシデントの発生が2008年より7件少ない12件となったことが影響したものだという。

 最も漏えい人数の多いインシデントは、「内部犯行・内部不正行為」が原因となって148万6651人の情報が漏えいした金融・保険の企業でのケースだった。漏えい規模が2〜10位のインシデントでは14〜50万人の情報が漏えいし、その原因は「管理ミス」「目的外使用」「不正アクセス」「内部犯行・内部不正行為」となっている。

原因のトップは「管理ミス」

 インシデント数に占める割合が高い原因の最多は、「管理ミス」の784件(50.9%)。2008年に比べて割合では約2.3倍に、件数では2.6倍に増加した。それ以外には、「誤操作」の369件(24.0%)、「紛失・置き忘れ」の122件(7.9%)、「盗難」の117件(7.6%)などが続く。全体の約9割が意図しない行為(ヒューマンエラー)によって生じたもので、現場からの広告や内部調査・内部監査などで発覚する場合が多いという。

 「誤操作」「紛失・置き忘れ」「盗難」「不正な情報持ち出し」の件数は減少している。内部統制やコンプライアンスの意識の高まりを受けて、インシデントの発生を公表するケースが増えているため、これらの原因は減少傾向にあるとしている。

 報告書では、内部統制やコンプライアンスの考え方が企業に浸透したことで、管理ミスがトップになったと推測する。担当者へのセキュリティ教育やヒューマンエラーを減らす手順、現場体制の整備に加え、「ヒューマンエラーは必ず起きる」という前提から被害拡大を防ぐ対策を併用することが望ましいという。

zu01.jpg 漏えい原因の比率。左は件数ベース、右は人数ベース。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」

 漏えい人数に占める割合をみると、「管理ミス」が45.6%で最多を占めた。「管理ミス」によるインシデント1件当たりの漏えい人数は3473.1人。2位は「内部犯行・内部不正行為」の29.1%。1件当たり12万7936.6人と「管理ミス」の約4倍であったが、2009年最大のインシデントを考慮する必要がある。また、「不正アクセス」は9.0%で、1件当たりは5万1628.9人。悪意による行為によって生じたインシデントほど、被害規模が大きい。

 報告書では、「管理ミス」による個人情報の管理対策を実施していくとともに、発生確率が低いものの、大規模被害につながる「不正アクセス」への対策も優先順位を上げて取り組むべきと結論付けている。

被害規模の大きな漏えい経路はリムーバブルメディア

 情報の漏えい媒体・経路別のトップは「紙媒体」(72.6%)で、「USBなど可搬記録媒体」(9.4%)、「電子メール」(7.0%)、「インターネット」(4.5%)が続く。「紙媒体」は2005年から連続でトップとなっているが、2007年まで減少傾向にあり、2008〜2009年は増加傾向にある。

 漏えい人数に占める割合では、「USBなど可搬記録媒体」(60.4%)がトップである。「インターネット」(14.5%)、「紙媒体」(13.1%)、「PC本体」(4.0%)がそれに続く。インシデント1件当たりの漏えい人数は「その他」の3万4521.9人を筆頭に、「USBなど可搬記録媒体」が2万8339.8人、「インターネット」が1万3600.0人だった。「紙媒体」は690.1人。「その他」が突出しているのは、1件で35万人の情報が漏えいしたインシデントの影響であるという。

zu02.jpg 漏えい媒体・経路の比率。左は件数ベース、右は人数ベース。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」

 「紙媒体」が漏えい媒体・経路となったインシデントの9割は、1件当たりの漏えい人数が1000人未満であり、1〜10人未満のものが45%を占めていた。「USBなど可搬記録媒体」では1000人以上のインシデントの割合が半分以上となり、10万人以上のインシデントの比率も高い。電子データを取り扱う媒体・経路では、被害規模が大きくなる。

 インシデント1件当たりの漏えい人数は、1〜10人未満が35.6%を占め、3年連続で増加した。1000人未満が全体の5分の4以上を占めている。これは近年まで企業や組織が見過ごしていた小規模なインシデントを把握し、積極的に公表するようになったためという。

zu03.jpg 1件当たりの漏えい人数区分と経年変化(件数ベース)。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」

 漏えいした情報の内容別では、「氏名」が1422件で最多となり、以下は「住所」(853件)、「電話番号」(511件)、「生年月日」(495件)、「職業」(204件)、「メールアドレス」(157件)、「性別」(119件)、「ID・パスワード」(13件)だった。漏えい数の多い内容の組み合わせは、「氏名+住所」(836件)、「氏名+電話番号」(499件)、「氏名+生年月日」(492件)、「氏名+住所+電話番号」(425件)、「氏名+住所+電話番号+生年月日」(256件)などであった。

 企業や組織の情報の電子化が進んだことで、大容量の情報を手軽に扱えるようになった。しかし、ヒューマンエラーによる漏えいの危険性が高まり、悪質な行為で漏えいした場合では甚大な被害が発生する恐れがある。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.