Internet Watch logo
記事検索
最新ニュース

2003年の個人情報漏洩事件、損害賠償額は平均5億5,000万円~JNSA推定


 日本ネットワークセキュリティ協会(JNSA)は18日、「2003年度情報セキュリティインシデントに関する調査報告書」をWebサイト上で公開した。JNSAの「情報セキュリティ被害調査ワーキンググループ」がとりまとめたもので、2003年における個人情報漏洩事件の損害賠償額やウイルスなどによる企業の被害額などを算出している。

 報告書によれば、2003年1月から12月までに発生した情報漏洩事件は、インターネット上で報道されたものだけでも57件。このうち被害者数の判明している51件を合計すると、その総数は155万4,592人に達し、2002年における41万8,716人を大幅に上回った。事件1件あたりの被害者数は平均30,482人だが、最大のものは56万人で、2002年に最大だった10万人を大きく上回っている。

 ワーキンググループが策定した算出モデルによると、2003年における個人情報漏洩事件の損害賠償額は総額280億6,936万円で、1件あたりの平均は5億5,038万円。2002年の総額189億2,201万円、平均3億4,403万円から増加した。2003年には、損害賠償が1億円以上の事件が15件あり、これが総額を引き上げる結果となったという。なお、被害者1人あたりの損害賠償が10万円以上となる事件は、2002年にはなかったのに対して、2003年は19%あった。

 報告書では、JNSAのメンバーであるIT企業47社と東証一部上場企業167社から回答を得たセキュリティ被害に関するアンケート調査の結果もまとめている。これによると、2003年に113件のセキュリティインシデントが発生していたことが報告され、このうちBlasterによるものが69件で60%を占めていたという。

 同じくワーキンググループの算出モデルを利用して、1)インシデントによる逸失利益や復旧コストなどの「直接被害額」、2)賠償やお詫び広告などの「間接被害額」、3)影響を受けた従業員の人件費などの「潜在化被害額」を算出しており、被害額の合計が2億円を超えたインシデントが2件あることがわかった。

 ある製造業者におけるBlasterによる被害額は、直接被害額が3,750万円、潜在化被害額が2億2,500万円だった。また、ある情報・通信事業者におけるの被害は、直接被害額だけで2億187万5,000円に達した。また、1万人以上の従業員に影響を及ぼしたインシデントも2件あったという。

 インシデントの種類別の1件あたりの平均被害額を見ると、Klezが2,964万2,857円、Blasterが1,295万8,371円、Sobigが253万3,333円などとなっている。

 報告書ではさらに、被害に遭った企業108社と遭わなかった企業106社のグループに分け、ファイアウォールやIDS(侵入検知システム)、ウイルス対策ソフトの導入状況などを比較したが、両グループに差異は見られず、むしろ被害に遭ったグループのほうが導入が進んでいる結果となった。このことから、「運用や体制など他の項目の実施状況が被害の有無を左右している可能性」が示唆されるとしているものの、連絡体制やセキュリティ教育、セキュリティ規定の整備、従業員1人あたりのセキュリティ予算などを比較した結果からは、明らかな関連性を見出すまでには至らなかった。


関連情報

URL
  ニュースリリース
  http://www.jnsa.org/active2003_1a.html


( 永沢 茂 )
2004/06/21 18:38

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.