Internet Watch logo
記事検索
バックナンバー
【 2007/04/27 】
2006年個人情報の流出事故・事件を総括する(4)
[15:39]
【 2007/04/26 】
2006年個人情報の流出事故・事件を総括する(3)
[19:29]
【 2007/04/25 】
2006年個人情報の流出事故・事件を総括する(2)
[18:14]
【 2007/04/24 】
2006年個人情報の流出事故・事件を総括する(1)
[18:38]

2006年個人情報の流出事故・事件を総括する(1)


2007年3月12日の大日本印刷のトップページ。販促用ダイレクトメールを扱う大日本印刷の電算処理室内から、業務委託先の社員によって持ち出された個人情報は864万件に上った
 2005年4月より個人情報保護法(個人情報の保護に関する法律)が全面施行された。これにより、個人情報を扱う事業者は、あらかじめ利用目的を公表しておくか、個人情報を取得した場合に速やかに利用目的を本人に通知または公表することが原則となった(第18条)。省庁が各業種向けに策定したガイドラインでは、公表方法のひとつとしてWebでの掲示を挙げており、全面施行を前に多くの企業が自社のサイトに利用目的などを掲載するようになった。

 ガイドラインの多くは、漏えいが起きた場合には速やかに本人に通知するとともに、二次被害の防止や情報共有によって同じような事故を未然に防ぐために、事実関係や発生原因、対応策などを公表することを重要視。完全施行を前にWebでの公表が相次ぎ、良いことばかりでなく悪いことも自主的にWebで公表するという方向性が一般化し始めた。

 最近でこそ、不祥事は公表すべしという企業コンプライアンスが広まりつつあるが、企業にとってマイナスになるかもしれないことを、いったいどれくらいの企業や団体が自主的に行なうのだろうか……そんなことに興味を持ち、2006年4月より当事者がWebに掲載した個人情報流出事故・事件に関するリリースの収集を開始した。5月からは、ある程度全体が把握できるよう、ニュースサイトなどで報道されたものもリリースの有無に関わらず収集。2006年1月1日〜12月31日間にWeb上で公表・報道(以後特に断りの無い限り「公表」と表記)された個人情報流出事故・事件に関するデータを集計した結果を以下にレポートする。





調査方法

 2006年1月1日から12月31日までの間に、企業などのホームページで公表された、あるいはニュースサイトで報道された個人情報流出に関する事故や事件を収集し、内容を分析して項目別に集計した。収集は、サイトの定期観測と検索を併用し、できるだけ取りこぼしのないよう作業したが、自ずと限界があり漏れも多かろうと思う。全てを収集した上での、あるいは全体を把握できるようなサンプルを抽出した上での統計的な集計ではないことを、あらかじめご了承いただきたい。

 公表されたものには、顧客情報として個人と企業の区別なく報告しているものや、企業情報としながらも実際には担当者の氏名を含んでいるものなどもある。公表内容には曖昧な部分が残るため、純粋な個人情報ではなく顧客情報の範囲まで含んだ集計となっている。また、「流出」には、漏えいが確実なものだけでなく、その可能性があったものや、目的外の利用、滅失、毀損なども含む。

 公表日は、原則以下優先順位に従って判定。ただし、その日付が事故以前など明らかに間違っていると思われる場合は除外し、記事やりリースが複数ある場合には、最も早いものを公表日として採用している。

  1. 本文で「発表した」と主張している日付(「わかった」など他の表現は対象外)
  2. リリースや記事に記載された日付
  3. 当該ページへのリンクに記載された日付
  4. 当該ページの最終更新日(Webサーバが返す「Last-Modified」)
  5. 収集した日付


 件数は公表ベースでまとめており、ひとつのリリースで過去の複数の流出を公表している場合も1件としてカウント。同じ事故・事件による複数社からの公表や続報は、基本的に全て1件に集約している。

 なお、集計にあたっては、日本ネットワ−クセキュリティ協会のセキュリティ被害調査ワーキンググループが毎年公表している「情報セキュリティインシデントに関する調査報告書」を参考にさせていただいた。


参考
 「顧客情報を紛失しました」個人情報保護法の完全施行を前に公表相次ぐ
 http://internet.watch.impress.co.jp/cda/news/2005/03/31/7072.html
 個人情報の保護(内閣府国民生活局)
 http://www5.cao.go.jp/seikatsu/kojin/
 2005年度情報セキュリティインシデントに関する調査報告書(JNSA)
 http://www.jnsa.org/result/2005/20060803_pol01/index.html





(1)月別集計〜公表総数は1,671件、2,283万4,190人の個人情報が流出

 2006年1月1日〜12月31日間に、企業等のホームページやニュースサイトで公表された個人情報流出事故・事件は、1,671件。うち、流出件数の判明している1,540件の流出総数は、2,283万4,190人分となった。

 図1Aと表1は、公表件数を月別にまとめたものである。参考までに2005年5月以降の件数もプロットしたが、2005年分に関しては内容を精査していないため、あくまで参考値として見ていただきたい。


【図1A】2005年と2006年の月別公表件数 【図1B】月別流出総数(N=1,540)

 2005年には、相次ぐ金融機関による個人情報の紛失を受けて、金融庁が金融機関の個人情報紛失状況や管理態勢の一斉点検を指示。6月から7月にかけて、多くの金融機関が調査結果を公表したため、この間の件数が跳ね上がっている。金融庁のまとめでは、287機関から約678件の報告が上がったというが、表では一斉点検がらみで実際に公表されたものを「緑」で塗り分けている(金融庁の発表分は考慮していない)。

 この跳ね上がり分を含むと、2005年5〜12月分の総数1,260件に対し、2006年の同期間は1,087件と約14%の減少となるが、除外した1,037件に対しては約5%の増加となる。年間を通して見た感じでは、一斉点検による集中的な公表を除くと、それほど大きな変化は感じられなかった。

 図1Bは、2006年の公表分から流出件数が判明している1,540件について、公表件数と流出件数をプロットしたものである。人数は、世帯を原則1人として扱っており、生徒10人と保護者の氏名は、10人分として計上している。
 流出件数は、別項で述べる桁違いの大規模流出に大きく左右されるため、月別の件数と流出総数の相関関係は読み取れない。

件数流出数判明分流出総数平均流出数
1月108101193,0271,911.2
2月13712693,059738.6
3月182159210,4501,323.6
4月1571492,223,44414,922.4
5月110102206,8482,027.9
6月1571474,812,79232,740.1
7月137127590,7684,651.7
8月1431331,239,0409,316.1
9月1201074,391,71941,044.1
10月1421311,704,09013,008.3
11月122111419,6873,781.0
12月1561476,749,26645,913.4
1,6711,54022,834,19014,827.4
【表1】月別公表件数


(明日につづく)



2007/04/24 18:38
鈴木直美
「PC Watch」や月刊誌「DOS/V POWER REPORT」他でパソコン・IT全般の解説記事などを執筆。「Windowsマシンのパーツがわかる本(木馬社)」、「明解 インターネット時代の標準ファイルフォーマット事典(インプレス)」など多数の著書がある。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.