「小事件」が増えて大事件が減った!?やらされ感だけでは防げない! プラス志向の情報漏洩対策 第1回

情報漏えいは今、企業の死活問題になっている。漏えい対策を怠れば、信用失墜に直結するのは必然だ。そんな情報漏えいの傾向と現状を分析してみた――。

» 2006年12月20日 11時00分 公開
[アイティセレクト編集部]

報道と実態のかい離

 情報漏えいは今、企業の死活問題になっている。漏えい対策を怠れば、企業の信用失墜に直結するのは必然だ。

 ただ、一口に情報漏えい事件といっても、その内容はさまざまだ。紙誌面を賑わす事件は、報道される内容とその実態にはいくらかかい離が見られるのではないか。

 日本ネットワークセキュリティ協会(JNSA)が2006年7月31日に発表した「2005年度情報セキュリティインシデントに関する調査報告書_情報漏えいによる被害想定と考察」によると、企業における情報漏えいの原因は、社員の不注意とされる「盗難」「紛失/置き忘れ」で計67・9%(それぞれ25・8%、42・1%)を占める。誤操作、管理ミス、設定ミス(それぞれ12・4%、5・1%、1・2%)を加えれば、その値は86・6%にも上る(以上、下グラフ参照)。つまり、ほとんどが社員の意識/知識レベルの低さによるものとされている。一言でいってしまえば、いわゆる「うっかりミス」だ。

個人情報漏えい原因の件数割合―― 「2005年度情報セキュリティインシデントに関する調査報告書-情報漏えいによる被害想定と考察」(日本ネットワークセキュリティ協会)を基に作成

 「大半は、かばんごと中に入っているPCや名簿を盗まれているケース。盗んだ側にしてみれば、金銭目当てだったのに、たまたまPCや名簿、伝票が入っていたということになる。そのほかには、紙の資料などを過って捨てた、事務所荒らしでパソコンを盗まれたというケースがある」(JNSA政策部会セキュリティ被害調査ワーキンググループリーダーの山田英史氏)

 「USBメモリなどの外部記憶媒体をかばんごと盗まれるというのもある」(同グループの大溝裕則氏)

小さな事件が増えた!?

 また年々、被害者が1、2人といった小規模の漏えい事件が増えているという。その背景には、「個人情報保護に関する法律」(通称「個人情報保護法」。以下、「保護法」とする)が基本方針として、どんな小さな事件でも公表するように掲げていることがあるようだ。また、企業側も、公表しないでおいて後でばれるよりも、進んで公表した方がダメージは小さいと考えるようになっているという。

 「保護法が05年4月に施行されることを受けて、(同法施行前は)同年度の漏えい事件の報道は落ち着くと見ていた。ところが実際には、04年度(366件)より増えた(05年度は1032件)。それは、小さな事件でも企業側が公表する傾向があったからだ」(山田氏)

 ただ、JNSAの調査は、あくまでも(漏えい事件を起こした企業自身によるなどの)公表ベースであるため、実際に事件が起きたのはそれより何年も前ということもある。つまり、05年度に公表されたからといって同年度に起きたに事件とは限らないのである。従って、同年度になって事件が増えたとは一概にはいえない。

 山田氏によると、とりわけ金融関係での発表にはそうした傾向が顕著に見られるという。「保護法の本格始動前に、現状を確認するように金融庁から指導があった。すると、過去のデータがなくなっているということが数多く明るみになった」

 一方、被害者の総数は減少しつつあるという結果も出ている。1043万5061人に達した04年度に比べ、05年度は881万4735人。つまり、それだけ大規模な事件が減っているとうことである。

 JNSAの調査は独自調査によるものではなく報道ベースであり、個人情報に限っていることから、やや偏りがあるのは間違いない。しかしながら、それぞれの年における社会状況を反映していると考えるのには十分値するものといっていいだろう。

 山田氏によると、06年の情報漏えい事件は前期の6カ月間で400件を超えた。通年で800〜900件になる見込みだ。とすると、事件の数自体も減ってきていると考えられる。

 とはいえ、それでも一日2件ほどはどこかで情報漏えい事件が起きているのである(「月刊アイティセレクト」12月号の特集「やらされ感だけでは防げない! プラス志向の情報漏洩対策」より)。

本特集では、「事故」も含めて「(情報)漏えい事件」とした。


(※)2005年1〜12月の間に新聞やネットなどの報道によって公表された、国内における個人情報の漏えい事件の調査分析結果。2006年7月31日に発表された。02年度から始められ、これが4回目となる。ちなみに、この調査では「1〜12月」を「年度」としている。
[本文に戻る]

(※)JNSAによると、車上荒らしや事務所荒らしなど第三者によって情報記録媒体とともに情報が盗まれた場合を指す。
[本文に戻る]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ