2013年の情報漏えいインシデント件数は減少。1件当たりの想定損害賠償額は1億超の増加!
日本ネットワークセキュリティ協会(JNSA)が昨年末に発表した、「2013年 情報漏えいインシデントに関する調査報告書」によると、2013年の情報漏えいインシデント件数は、2012年の2,357件より大きく減少し1,389件となりました。しかし、調査が始まった2005年以降を見ると2008年とほぼ同じで、決して情報漏えいインシデント自体が少なくなったわけではありません。
また2013年の漏えい人数については、2012年の972万65人から925万4,513人と少し減ったものの、1件あたりの漏えい人数で見ると4,245人(2012年)から7,027件(2013年)と大きく増えています。
さらに、1件当たりの平均想定損害賠償額は9,313万円(2012年)から1億6,575万円(2013年)と増加しており、これらのことから引き続き「情報漏えい」が企業にもたらす影響は大きいといえます。
■インシデント件数と漏えい人数の経年変化
漏えい媒体・経路については、これまで同様、業種・規模問わず使用頻度が高い「紙媒体」が67.7%と多いが、2012年からの変化を見ると、昨年から一番増えた「インターネット」が9.1%に増加しています。
■漏えい原因比率の経年変化
これはパスワードリスト型攻撃による「不正アクセス」が増えたことが影響しており、規模の大きいインシデント・トップ10を見ても、10件中7件は「不正アクセス」となっています。
■インシデント・トップ10
No. | 漏えい人数 | 業種 | 原因 |
---|---|---|---|
1 | 400万人 | 情報通信業 | 不正アクセス |
2 | 169万2496人 | 情報通信業 | 不正アクセス |
3 | 47万人 | 卸売業、小売業 | 不正アクセス |
4 | 42万6000人 | 公務(他に分類されるものを除く) | 紛失・置き忘れ |
5 | 24万3266人 | 情報通信業 | 不正アクセス |
6 | 17万5297人 | 情報通信業 | 設定ミス |
7 | 15万165人 | 卸売業、小売業 | 不正アクセス |
8 | 12万165人 | 金融業、保険業 | 管理ミス |
9 | 10万9112人 | 情報通信業 | 不正アクセス |
10 | 9万7438人 | 情報通信業 | 不正アクセス |
また、漏えい人数の原因比率から見ても、1位:不正アクセス(78.7%)、2位:管理ミス(9.2%)、3位:紛失・置き忘れ(6.1%)、4位:設定ミス(2.7%)、5位:誤操作:1.7%となり、「不正アクセス」が突出して高くなっています。
「不正アクセス」は例年、1件当たりの被害が大きくなる傾向にある為、サーバーやパソコンの更新プログラム適用やウイルスソフトを最新に保つなど徹底した対策が必要です。
なお、個人情報漏えい件数の原因比率でみると、1位:誤操作(34.9%)、2位:管理ミス(32.3%)、3位:紛失・置き忘れ(14.3%)、4位:盗難(5.5%)、5位:不正アクセス(4.7%)となり、3位までで約80%を占める結果となった。このうち「誤操作」及び「紛失・置き忘れ」はヒューマンエラーのため、悪意に対する対策に加え、社員へのセキュリティ教育や管理体制の整備も行う必要があるといえます。
■漏えい原因比率
引用:JNSA 2013年 情報セキュリティインシデントに関する調査報告書
エムオーテックス株式会社技術顧問
独立行政法人情報処理推進機構(IPA)非常勤研究員
1985年京セラ株式会社入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。
事故や内部犯等による内部からの情報漏えいと、不正アクセス等外部からの情報漏えいのどちらを重視すべきかという議論がありますが、この統計や最近の重大事件を見るにつけても、内部・外部のいずれの可能性もあり、満遍なく対策するしかないと考えます。既に多くの企業で個人情報漏えい対策の基本的な取り組みは進めていることと思いますが、他社の重大事件・事故の事例を自社に当てはめてみて、自社なら大丈夫かどうか、シミュレーションしてみるとよいと思います。