2008年の個人情報漏えい、件数は増加も漏えい人数は減少

　日本ネットワークセキュリティ協会（JNSA）は1日、2008年に報道された個人情報漏えい事件をまとめた「2008年度情報セキュリティインシデントに関する調査報告書」を公表した。

　報告書は、JNSAの「セキュリティ被害調査ワーキンググループ」が、新聞やインターネットニュースなどで報道された情報漏えい事件をまとめたもの。2008年1月～12月に発生した情報漏えい事件の件数や漏えい人数、原因などの分析のほか、漏えい事件による想定損害賠償額も算出している。

　報告書によると、2008年の個人情報漏えい事件は1373件で、2007年の864件から増加。一方、漏えい人数の合計は723万2763人で、2007年の3053万1004人から大幅に減少した。件数の増加は、自治体が積極的に情報漏えい事件を公表したことが影響したという。一方、人数については、100万人を超える大規模な個人情報漏えい事件が発生しなかったことから、個人情報保護法施行後では最も少なく、調査開始以来初めて人数が減少に転じたとしている。

　JNSAの算出モデルによる2008年の個人情報漏えいによる想定損害賠償総額は、2367億2529万円。漏えい人数の合計が減少したことに伴い、想定損害賠償総額も2007年の2兆2714億1060万円から大幅に減少した。漏えい事件1件あたりの漏えい人数は5668人、1件あたりの平均想定損害賠償額は1億8552万円、1人あたりの平均想定損害賠償額は4万3632円。

　漏えい事件を起こした業種の分類は、「公務」が34.2％、「教育・学習支援業」が13.0％、「金融・保険業」が11.6％、「情報通信業」が6.9％、「医療・福祉」が6.6％など。公務や金融・保険業は、行政側の指導もあって小規模の事故でも公表することが多いことから、件数も多くなっているとしている。

　漏えい事件の原因は、「誤操作」が35.2％、「管理ミス」が22.2％、「紛失・置き忘れ」が14.1％、「盗難」が11.2％、「不正な情報持ち出し」が5.8％、「設定ミス」が4.4％など。2007年の調査と比べると「誤操作」の割合が増えており、紙媒体の誤配送やメールの誤配信、FAXの誤配信など、手動での操作に依存する情報漏えいが多く発生したという。

　一方、漏えい原因別に事件1件あたりの漏えい人数を比較してみると、「不正アクセス」が10万8943人で、「内部犯罪・内部不正行為」（1万8623人）、「管理ミス」（1万6890人）など他の原因に比べて圧倒的に多い。JNSAでは、2008年にはWebアプリケーションの脆弱性を狙った攻撃が急激に増えたことも関係していると分析している。