まさかの漏えい、その損失はいくら？：企業セキュリティ古今東西（2/2 ページ）

[荒木孝一（エースラッシュ），ITmedia]

　2006年の総計額が減少したのは、情報から本人を特定できる度合いを示す「本人特定容易度」、社会的な責任度を表す「漏えい元組織の社会的責任」、適切な対応が行われたかを表す「事後対応評価」という、算定式に必要な各パラメータがどの事例でも低かったため。具体的には、前年より「金融・保険業」からの情報漏えいが減り、口座番号やカード番号など重要度の高い情報漏えいを抑えられた、といった部分が大きい。

　実際に、1件当たりの平均想定損害賠償額は2005年が7億868万円で、2006年は4億8156万円（図2）。被害者1人当たりの平均想定損害賠償額については、2005年の4万6271円に対して2006年は3万6743円となっており、総計と同様過去の年と比べて金額が減少傾向にある（図3）。なお、図3の平均値は、1件当たりのばらつきを吸収するため、各インシデント1人当たりの想定損害賠償額を個別に算出し、その結果を総合計した後に漏えい件数で割る方法で算出している。よって、想定損害賠償額の総合計を総漏えい人数で割った値ではない。

図2●1件当たりの平均想定損害賠償額（2006年の被害者数の母数は被害者数不明の44件を除く949件）

図3●被害者1人当たりの平均想定損害賠償額

（図1〜3　出典：NPO 日本ネットワークセキュリティ協会「2006年度 情報セキュリティインシデントに関する調査報告書」／調査2007年7月）

　しかし、いくら損害賠償額が例年より減少傾向にあるとはいえ、1件当たりの損害賠償額平均が5億円近くにまで達しているという事実は大きい。実際には、ブランドイメージが損なわれたりパートナー企業の信頼低下による影響も加わるため、企業経営にとって十分致命的なダメージとなり得るだろう。

企業の対応が明暗を分ける

　本来、企業にとって情報漏えい事故を起こさないことが最も望ましい。しかし、もし個人情報の漏えい事故が発生してしまった場合、企業ではまず事故内容を早急に公表することが求められる。公表が遅れれば遅れるほど、内部統制や情報システム、経営層の判断能力などに問題があるという印象を一般ユーザーに与えてしまうだろう。また、たとえ小規模の漏えいであっても隠ぺい工作を図るのは論外である。後から情報漏えいが発覚した際は、事故直後の公表よりも社会的批判が増大し、かえって大きな損害を被ることになるからだ。

　続いて重要なのが、原因調査をはじめとする事故後の対応だ。さすがに「なぜ情報が流出したのか分かりません」という企業に対して、ユーザーは2度と情報を与える気にならないだろう。そのためにも、普段から「いつ」「誰が」「どのような経路で」情報を持ち出したのか、迅速に特定できる情報管理システムを構築しておくことが必要になる。

　また、調査の途中経過を定期的に公表したり、相談窓口を設置したりするといった対応も忘れてはならない要素だ。これらの措置は被害者の不安を軽減し、情報を悪用した二次災害の防止にもつながってくる。しっかりとした対応策や企業の見解を打ち出し、少しでも誠意ある姿勢が伝われば、原状回復までの期間も短くなるだろう。

事前対策は「想定できる限り」を

　もちろん、ここまでに挙げたのはあくまで事後対策であり、本来は情報漏えい事故が起きないようなセキュリティ管理体制の構築が大前提となる。情報漏えいによる巨大なリスクと比べれば、セキュリティ強化に必要な予算はわずかなものではないだろうか。自社で保有する個人情報が漏えいした際の損害賠償額を算出し、現在のセキュリティ対策への投資額と釣り合いが取れているかを再検討していただきたい。

　その他の事前対策としては、万が一の事態に備えて社内での対応策や基準などを明文化しておくこと。これにより、対応のスピードが大きく変わってくる。さらに、近年は個人情報の漏えいに対して、損害賠償金や各種費用損害などを負担する保険も登場している。保険会社や商工会議所などで取り扱っているので、企業セキュリティを向上させる一方で、最悪の事態に備えてこのような保険を利用するのも有効な手段だろう。