2007年度個人情報流出インシデントの調査(JNSAが公表)


NPO法人日本セキュリティ協会が、2007年一年間でメディアに報じられた個人情報流出事案を集計して原因などを分析した調査結果を5月19日に公表しました。日経パソコンのサイトが5月20日に掲載していました。2006年に比べると流出事案件数は129件減の864件でしたが、流出した個人情報件数は3053万人分で前年よりも829万人分増えたそうです。これは、大規模流出事案が2件あったことが影響しているとのことです。仮に全件に対して損害賠償をすれば2兆2710億円に相当するというので、算出方法をJNSAのサイトで確認しました。

http://www.jnsa.org/result/2007/pol/incident/index.html

事案毎に1人当り損害賠償額を試算し集計した結果ということで、単純平均と総人数を掛け算したわけではないとのことです。恐らく流出情報の機密性や機微の程度に応じて、過去の賠償金額を参照したのでしょう。それにしても、想像を絶する金額です。1人あたり平均38,233円の賠償を想定しています。

対象となる事案は全て人手で収集したそうです。報道された全件を網羅していない可能性があるとしていますが、それにしても大変な作業です。多種多様なメディアに目を通す必要があるのですから。相当に多勢のボランティアが参加しないとできないことです。また、報道によって公表情報も統一されていないでしょうし。銀行の新BIS基準オペリスクのモデル作りで、インシデントと損失額の実績値がないのが悩みとなっています。あるベンダーが、テキストマイニングで銀行事務関連インシデントの記事を抽出するソフトを開発しました。良いビジネスになると思ったのでしょう。分析対象の記事DBを捜したのですが、デジタル化された記事DBは全国紙などしかありません。地方紙や業界紙から人手で抽出しようとしたのですが、手間がかかり正確性が担保できず、更には原因と想定損失額の情報が公表されないことが多く、結局は商品化を断念しました。金融関連では、事案発生の都度、金融庁に詳細な報告がなされています。しかし、それは公開されません。JNSAの調査は、個人情報流出状況に関して一般に入手できる最も充実した調査と言えるでしょう。

全864件のうち15.2%129件が金融保険業です。月に10件強ですから、我々は新聞などで見ても余程大規模が特殊事例でなければ気にもしなくなったようです。もっとも、金融は事案発生を当局に報告する義務がありますので、些細なことでも公表されることが多いことを勘案する必要があります。流出顧客情報件数は346万人ですから、1件当たり3万人近い数字です。これは余程扱いに注意すべき業種であることを示しています。慣れてしまうことの危険を認識すべきでしょう。129件を原因別に見ると、誤廃棄などの管理ミスが73件、紛失置忘れなどが20件、配信先間違いなど誤操作が14件です。不正アクセスや社内要員による不正持ち出しなどは多くありません。流出経路でみると、紙媒体が87件、PCUSB等リムーバブル記録媒体がそれぞれ11件、Web経由8件、eメール経由5件が主たるものです。他産業を含めた全体で見ても、管理ミスと誤操作が増加しており、紛失置忘れを含めた他の流出原因は減っています。

こうして見ると、金融機関における流出防止策の優先付けが見えてきます。まずは、紙媒体やマイクロフィッシュなどの管理体制、特に保存廃棄方法の改善でしょう。(他産業ではCD-ROMUSBスティックの事案が多いのですが、金融では殆どの場合これらは禁止されています。) これで半分程度が防止可能性を高めることができます。次に誤送信です。これはeメールの送信先やFax送信先を間違えるもので、リストの前後や同姓などを間違えることが多いようです。この為、複数人による確認など、相当に面倒で人間の行動特性に不調和なチェック体制を敷く銀行が多く、社員に不評です。このように不自然な業務ルールは、どうしても守られないことが出てくるので、経営者からすれば、何故?と思うようなルール破りにより、組織やその責任者が責めを負うことになります。

いろいろなITソリューションが出ています。紙資料やマイクロフィッシュにRFIDを添付して管理する銀行が増えています。誤送信に対しては、送信先を間違えるパターンを事前登録しておき、その可能性が高いケースには送信前に再度確認を求めるものや、似た送信先に関しては表示色を変えるとか、暗号化してその解読記号を別送するとか、さまざまな方法が取られています。タイトルや文章内の用語、表現と宛先を紐付けしておき、宛先錯誤を指摘するルールベース・システムもあります。このツールを使うためにFax機を廃止してPCによるFax送信に統一する金融機関もあります。社員の納得した上での確認作業を求めて、情報セキュリティ指針を定め、各種の遵守ルールを強制しますが、それが作業効率劣化などマイナス・インセンティブしかなければ、多忙な時やモラルの低い時にはリスクが高まります。

単純な過誤による作業ミスはなくならないでしょう。一方送信である限りはチェックしきれません。全自動とするかデマンドベースで受信者認証するしかないでしょう。それが不可能である限りは、流出時におけるコンティジェンシーを確立して、被害の極小化を図るしかありません。こうした状況にあるにも関わらず、社員の心がけの悪さを嘆いたり、アリバイ工作的なツールを導入して、偶然に派生しないことを願う経営者が多いことも事実です。最大の防御策は、危ない情報は持たないことで、どうしても必要なものは暗号化するなど、第三者には判読できないようにするしかありません。流出防止か判読不能化かということです。それにしても、失敗経験の共有は進んでいないようです。同じ失敗を異なる金融機関が繰り返す様子を見る限り、各金融機関が個別に膨大な時間と損失を重ねることになります。金融失敗学会などを創設したら有効だろうと思っています。または、金融庁が素データを集めているのですから、専門的に分析して改善策を個別指導すれば良いと思います。有料でも構わないでしょう。