会社と社会に責任とれますか?情報漏えい・損害賠償の重み

企業経営を取り巻くリスクには、経営危機はもちろん、企業側の安全配慮義務違反による事故など、さまざまあります。近年は、個人情報などの情報漏えいとそれによる損害賠償のリスクが、取り上げられるようになってきました。
この危険性は、直接個人情報を持つ企業の内部に限りません。企業に出入りをする協力会社がその個人情報を漏えいさせてしまうリスクもあるからです。金銭目当てなどの故意の事故もあれば、不注意による紛失や漏えい事故もあります。
そして注意すべきはサイバー攻撃です。個人情報を持った企業だけがターゲットになるとは限りません。「踏み台」(最初にウイルスの感染源となり外部へ広めてしまう)として、標的企業への侵入口に利用されてしまうこともあるのです。この場合、「踏み台」にされた会社は被害者となりますが、加害者にもなるため、社会的な責任を問われる可能性があります。

損害賠償の事例と損害額の今後

企業の情報漏えいに関する損額賠償の金額について見てみましょう。

損害賠償の大きさ

日本ネットワークセキュリティ協会では毎年、新聞などで報道された情報をもとに、情報漏えいに関わるインシデント(事故・事件)を報告しています。2015年では、想定損害賠償総額は2,541億円3,663万円、事故・事件1件当たりの損害賠償額は3億3,705万円という結果になりました。つまり1社が平均3億円以上を支払ったとうことです。
その漏えいの対象となった個人情報の人数は、496万人。東京都の人口は1,300万人なので、たった1年で都民の個人情報の3分1以上が流出してしまったことになります。

漏えい対象1人当たりの損害賠償

漏えいした個人情報について、1人当たりの損害賠償額は2万8,000円。これは各漏えい事故・事件における損害賠償額を漏えい人数で割った金額の平均値になります。報道では、漏えい被害者1人に当たり図書券500円が謝罪として発送されたなどとよく聞きます。しかし、漏えいした個人情報の機密性によって異なり、秘匿したい個人的な情報(体や健康などに関わること等)や預貯金の不正引き出しにつながるもの(口座やクレジットカード番号等)ですと、1人当たり数万円という金額になることも珍しくありません。

  2015年
漏えい人数 496万0063人
インシデント件数 799件
想定損害賠償総額 2,541億3,663万円
1件当たり平均漏えい人数 6,578人
1件当たり平均想定損害賠償額 3億3,705万円
1人当たり平均想定損害賠償額 2万8,020円
  • 引用
    特定非営利活動法人 日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」

情報漏えいの起こりうる場面と危険性

日本ネットワークセキュリティ協会の2015年の報告書では、「紛失・置き忘れ」が243件で、全体の799件中の約3割に当たります。続いて、誤操作が25.8%ですので、合わせて5割以上がヒューマンエラー(人為的なミス)によるものです。

インシデント(事故・事件)の件数と構成比(2015年)
漏えい原因 漏えい件数 構成比
紛失・置き忘れ 243件 30.4%
誤操作 206件 25.8%
管理ミス 144件 18.0%
不正アクセス 64件 8.0%
盗難 44件 5.5%
不正な情報持ち出し 38件 4.8%
内部犯罪・内部不正行為 17件 2.1%
設定ミス 15件 1.9%
バグ・セキュリティホール 12件 1.5%
ワーム・ウイルス 10件 1.3%
目的外使用 2件 0.3%
その他 1件 0.1%
不明 3件 0.4%
合計 799件 100.0%
  • 引用
    特定非営利活動法人 日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」

ここで注意したいのは「不正な情報の持ち出し」「不正アクセス」など、犯罪を目的とした悪意のある漏えいです。上の表で見ると、悪意のある事故・事件の発生件数は、「紛失・置き忘れ」「誤操作」といった悪意のない漏えいに比べて少ないことがわかりますが、下の表を見ると、漏えいした個人情報の数はとても大きなものになっていることがわかります。原因別に、個人情報の漏えい人数別を見ると、「不正な情報の持ち出し」「不正アクセス」といった悪意のある事故・事件が上位にランクしていることがわかります。特に「不正アクセス」は、一回で個人情報を大量に盗むため、実に用意周到です。

2015年 個人情報漏えいインシデント トップ10
業種 原因 漏えい人数
1 公務(他に分類されるものを除く) 不正アクセス 1,014,653
2 金融業、保険業 管理ミス 694,217
3 公務(他に分類されるものを除く) 不正な情報持ち出し 680,000
4 情報通信業 不正アクセス 267,000
5 卸売業、小売業 不正アクセス 209,999
6 公務(他に分類されるものを除く) 不正な情報持ち出し 180,000
7 公務(他に分類されるものを除く) 内部犯罪・内部不正行為 142,000
8 卸売業、小売業 不正アクセス 131,096
9 医療、福祉 盗難 114,400
10 製造業 不正アクセス 107,368
  • 引用
    特定非営利活動法人 日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」

情報セキュリティの脅威は、「起きる”可能性”ではなく起きたときの”危険性”」に目を向けなければなりません。「滅多に起きない」と油断しないことが大切です。

情報漏えい対策の最新手法

情報漏えいの可能性と危険性についてまとめたのが次の表です。パートナーである協力会社が不正を働いた場合でも、影響が取引先にまで及ぶことがあります。業務委託契約書に機密情報の扱いについて記述するだけでなく、セキュリティに関する教育やセキュリティ体制の確認、助言や指導もしなければなりません。

情報漏えいインシデント(事故・事件)の発生可能性と危険性
主体者 原因 発生件数 漏えい被害 取引先/社会への影響と損害賠償額 セキュリティ対策
社内 悪意なし 従業員
  • 紛失/置き忘れ
  • 誤操作
  • 管理ミス
多い 小~中 社員教育や運営ルールのみに頼らずシステム化し、機器等の利用者もストレスなく使えるような仕組みづくり
悪意あり 従業員
  • 内部犯罪不正行為
少ない 甚大 甚大
社外 悪意なし 協力会社
  • 紛失/置き忘れ
  • 誤操作
  • 管理ミス
多い 小~中
悪意あり 協力会社の社内不正
  • 内部犯罪不正行為
少ない 甚大 甚大
犯罪者
  • 不正アクセス
    (サイバー攻撃)
大~甚大 犯罪者の手口に合わせたセキュリティシステムの最適化

冒頭に述べたようなサイバー攻撃の「踏み台」にされた場合、被害者でありながらも加害者として損害賠償を請求されてもおかしくはないといわれています。自社がエンドユーザーの個人情報を扱わないにしても、攻撃者を撃退できる情報セキュリティ対策を充分に施す必要があります。

対策(1)データを一元管理できるように

個々のパソコンにデータが格納されている場合、そのパソコンを仕事で持ち出し、紛失すれば情報の漏えいになります。今はモバイルをビジネスに活用する時代ですから、個々の機器にデータを入れ、それぞれに対策を施すのはかえってコストがかかります。今後は、データを一元管理できるように、データのクラウド化やデータレス端末の導入へ移行していくことになるでしょう。

対策(2)監視とシステムの進化

インターネットから中枢部のデータへアクセスしようというサイバー攻撃へは、新たな対策が求められます。24時間の監視(モニタリング)、日々のシステム上のデータやプログラムの動きや攻撃についてのパターンなどを解析し、新しい脅威への対策を継続的に行う体制の構築が必要です。

対策(3)人の能力の限界を補うシステム

IDとパスワードによる機密情報等へのアクセス制限や管理は一般的になりました。しかし、パスワードの定期的な変更は、エンドユーザーやIT管理者の負担になります。またIDとパスワードは、常に成りすましや流出の危険にさらされています。アクセス制限には、指紋や目の光彩を利用した生体認証のほうが確実で、利用者やIT管理者の負担も減ることになります。メールの誤送信なども、文面や添付ファイルのチェックを自動的に行い、問題を含むメールを発信させない仕組みや、内容を暗号化させるシステムにするほうが確実です。
個人情報のデータが狙われる反面、ビッグデータの活用やデータベースマーケティングなど、むしろ現場の最前線では個人データの活用が鍵になっています。セキュリティを強化することと同時に、個人情報の安全で新しい活用方法も並行して考えてみるのがよいかもしれません。

セキュリティに関するお問い合わせ・ご相談

お電話でのお問い合わせ 富士通コンタクトライン(総合窓口)

0120-933-200 (通話無料)

受付時間 : 9:00~12:00および13:00~17:30(土・日・祝日・当社指定の休業日を除く)

Webでのお問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

ページの先頭へ