 |
|
| トピックと手法から学ぶリスクマネジメント |
第5回:個人情報漏洩のリスク評価
著者:プライド 三澤 正司 2006/9/26
|
|
|
| 前のページ 1 2 3 4
|
|
| リスクアセスメント手法の適用
|
ここまでは、リスクの洗い出し、予測、評価にかかわる手法を説明してきたが、以降では情報漏洩発生時の損害賠償額算出に焦点を当てる。
|
| 損害賠償額算出 |
NPO日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループの「2003年度 情報セキュリティインシデントに関する調査報告書<第2部>」(2004年3月31日発行)」では次のような算出式を提示している。
|
| 2002年方式 |
以下の算出式により損害賠償額を算出する。算出項目を表9、評価ポイントを表10に示す。
情報漏洩元組織の損害賠償額(評価ポイント)=1×2×3×4×5
| 算式項目 |
状況別ポイント |
| 1
| 漏洩情報の内容に
基づく慰謝料 |
基本的な個人情報 |
100pt |
| 特徴的な個人情報(3種類以下) |
500pt |
| 特徴的な個人情報(それ以上) |
1000pt |
| メールアドレスのみ |
10pt |
| 個人を特定するID、パスワード関係 |
300pt |
| 2
| 個人情報提供の同意の有無 |
同意有り |
2.0pt |
| 同意無し |
1.0pt |
| 3
| 情報提供者との関係 |
顧客 |
2.0pt |
| アンケート、プレゼント応募者 |
1.0pt |
| 4
| 情報漏洩元組織の
社会的信頼度 |
一般より高い |
1.5pt |
| 一般的 |
1.0pt |
| 5
| 事件後の対応姿勢 |
良い |
1.0pt |
| 普通 |
2.0pt |
| 悪い |
4.0pt |
表9:各項目のポイント表
| 一件当たりの評価ポイント |
想定慰謝料(算出用基準) |
| 1000ポイント未満 |
0〜5,000円(5,000円) |
| 1000〜2000ポイント未満 |
〜10,000円(10,000円) |
| 2000〜5000ポイント未満 |
〜50,000円(50,000円) |
| 5000ポイント以上 |
50,000円以上(100,000円) |
表10:評価ポイントと想定慰謝料の対応表
|
| 2003年方式 |
2003年方式は、以下の条件について考慮した。
- 漏洩した個人情報には、機微な情報が含まれるのか?
- 漏洩した個人情報から個人が特定出来るか否か?
表11:2003年方式の考慮点
以下の算出式により損害賠償額を算出する。各項目の判定基準を表3に示す。
損害賠償額=1×2×3×4×5
表12:各項目の評価基準 (画像をクリックすると別ウィンドウに拡大図を表示します)
|
| 計算例 |
「2003年度 情報セキュリティインシデントに関する調査報告書<第2部>」では、宇治市の住民基本台帳データ大量漏洩事件の例で計算例を示している。
- 2002年方式
- 情報漏洩元組織の損害賠償額=600(基本情報+特徴情報)×2(同意有りと仮定)×2(顧客相当)×1.5(一般より高い)×1(良い)=3600ポイント
表10を見ると、次の通り10,000〜50,000円という損害賠償額になる。
- 2003年方式
- 損害賠償額=500×(100+50)×6×2×1=12,000円
この事件で漏洩したデータは、住民番号/住所/氏名/性別/生年月日/転入日/転出先/世帯主名/世帯主との続柄などの個人情報が含まれていた。裁判では、賠償額1人当たり15,000円(慰謝料10,000円+弁護士費用5,000円)と判断された。原告は3名だったが、もし約22万人全員が訴えていたら損害額は、32億6千万円になっていた。
|
| 個人情報保護とISMSに対応するリスクアセスメントのまとめ |
2回にわたって個人情報保護とISMSにかかるリスクの確認、リスクの定量的評価、情報漏洩発生時の損害賠償額算出の説明をした。
個人情報保護とISMSどちらもどう情報資産を守るかが問われる。また個人情報の場合は、漏洩した場合、事後対応が不適切な場合は多大な損害を被る。
先にも述べたように、いかに対策を講じても100%事故を防ぐことはできないのである。対策というと「性悪説」をベースにしがちだが、日本セキュリティ・マネジメント学会(JSSM)常任理事で中央大学助教授の内田勝也氏や弁護士の牧野二郎氏は、「性弱説」を説いている。「人間は弱いものだ、『魔が差し』たり、『出来心』でやってしまうことがある」「人はミスしたり、迷ったり、手を抜いたりする動物である」ことをベースに対策を検討しようというものである。
そして情報資産にかかる者の意識を高めるために、教育は勿論のこと、日々の点検であるCSA(Control Self Assessment)の導入も重要視されている。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
株式会社プライド 三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
|
|
|
|
|
|
