Internet Watch logo
記事検索
バックナンバー
【 2007/04/27 】
2006年個人情報の流出事故・事件を総括する(4)
[15:39]
【 2007/04/26 】
2006年個人情報の流出事故・事件を総括する(3)
[19:29]
【 2007/04/25 】
2006年個人情報の流出事故・事件を総括する(2)
[18:14]
【 2007/04/24 】
2006年個人情報の流出事故・事件を総括する(1)
[18:38]

2006年個人情報の流出事故・事件を総括する(3)


(4)原因別集計~大半は不注意、ウイルス感染も1割を占める

 情報流出にはさまざまな要因が関わっているが、末端の直接的な要因を流出の「原因」とし、以下のように分類した。

盗難:車上荒らしや事務所荒らしなどにより、PC本体やメディア、書類などが他のものと一緒に盗まれた。情報そのもの(あるいは含まれていることを知った上で)の盗みは、「窃盗」として分類

紛失:社外での置き忘れなどによる紛失、および社内での所在不明。

誤操作:宛先違いや入れ違え、混入、メールやFAXの操作ミスによる誤送付。渡す相手を間違える、引き出した情報を間違えるなどによる誤交付や誤返却。消去すべき個人情報の消し忘れや、操作ミスによる消去情報の漏えい。

誤破棄:保管しておくべき情報を正規の破棄手続きを経て誤って破棄し、破棄が確認されているもの。

不正破棄:書類を裁断せず普通ごみに出す、データを消去せずにPCを廃棄するなど、正しい手続きによらない破棄。裏紙再生のような、破棄すべきものを破棄しない場合。

不正使用:目的外利用、提供。虚偽の申請などによる不正な取得。

窃盗:悪用を目的とした(結果的にそうなった)個人情報の不正な取得や持ち出し。盗難のうち、情報そのものを狙ったもの。

管理不備:サーバーなどの設定ミスや不具合による流出。FAXの不具合による誤送信(1件のみ)は、誤操作扱いとした。

不正アクセス:外部からアクセス制御を破って侵入し個人情報を取得。脆弱性を突いた攻撃等も含むが、アクセス制御の無いものは「管理不備」に分類。個人対個人の不正アクセスは、集計対象にしていない。

ウイルス:ウイルス(トロイの木馬やワームなどを含む広義のウイルス)感染による意図しない漏えい。

その他:上記以外(原因が異なる複数件の同時発表を含む)。


 原因別では、不正アクセスや窃盗などの意図的なものは少なく、不注意の典型である紛失と誤操作だけで59.2%と過半数を占める。

 19.9%の盗難にしても、その内訳(図4C、表4C)の10.2%が置き引きであり、53.8%は車上荒らし(車両ごとも含む)によるもの。無施錠の車は論外だが、たとえ施錠していても窓を破れば一瞬で侵入可能になる車内は、決して金庫代わりにはならない。その認識さえあれば、置き引きと同様に回避可能な問題といえよう。事務所荒らし(空き巣に含む)で重量金庫ごと盗まれるといった一部を除けば、3大原因のひとつである盗難も、その多くが不注意によるものと考えられる。


【図4A】原因別件数(N=1,671)

原因件数構成比
盗難33319.9%
紛失 540 32.3%
誤操作 450 26.9%
誤破棄 7 0.4%
不正破棄 23 1.4%
不正使用 51 3.1%
窃盗 15 0.9%
管理不備 27 1.6%
不正アクセス 9 0.5%
ウイルス 190 11.4%
その他 10 0.6%
不明 16 1.0%
1,671100%


 2006年は、Winnyのウイルス感染による流出事故が相次ぎ公表された。流出原因の11.4%を占める190件のウイルス事故は、PCをWebサーバーにしてしまう通称「山田オルタナティブ」と呼ばれるウイルスに感染した1件を除き、全てファイル共有ソフトを介した流出となっている。ファイル共有ソフトによる流出事故については、あらためてまとめるが、全体の1割という数字は尋常ではない。この1割に関しても、不注意に算入することに異論はないだろう。

 大規模流出の有無に左右される流出数は、原因別では件数の多い紛失、盗難、ウイルスが件数に準じた傾向を示す一方、紛失に次ぐ件数である誤操作での流出数は桁違いに少ない。大量の情報を扱う際には、それなりの注意が働いて操作上のミスが起きにくいとも考えられるが、大量の同報メールには専用のシステムを用意するなど、大量の情報を扱う所ではあらかじめミスが起こらない体制をとっているのかもしれない。

 一方、窃盗では400万件が流出したKDDIや富士ゼロックスシステムサービスの例に見られるように、大規模流出につながる可能性が高い。また、いずれも流出後2年以上経過してからの恐喝事件が発覚のきっかけになっており、内部犯行が発覚しにくい一面を感じさせる。現時点では原因不明に分類した日産自動車の顧客情報流出も、内部犯行の可能性があるし、ほかにもまだ表沙汰になっていないものがあるのかもしれない。


【図4B】原因別流出数(N=1,540)

原因流出総数件数平均流出数
紛失4,486,5735148,728.7
誤操作77,793424183.5
盗難2,035,3383026,739.5
ウイルス 733,955 171 4,292.1
不正使用 5,693 42 135.5
不正破棄 39,014 20 1,950.7
管理不備 313,481 19 16,499.0
窃盗 8,170,968 13 628,536.0
不明 5,514,416 12 459,534.7
不正アクセス 480,571 8 60,071.4
誤破棄 975,874 7 139,410.6
その他 514 8 64.3
22,834,1901,54014,827.4
【表4B】原因別流出数(N=1,540)


 盗難による流出をさらに細かく分類したのが、表4Cと図4Cである。「車上荒らし(車両ごと盗難を含む)」が過半数を占めているのが特徴で、自宅や事務所などの「空き巣」がそれに続く。直接の原因が分からない「配送中」の盗難に関しても、おそらくこのどちらかに含まれるだろう。「強盗・ひったくり」は、18件中3件が強盗に襲撃されたもので、残り15件が持っていたカバンなどをひったくられたものである。


【図4C】盗難原因(N=333)

原因件数構成比
車上荒らし17953.8%
空き巣 78 23.4%
置き引き 34 10.2%
強盗・ひったくり 18 5.4%
配送中 11 3.3%
その他 1 0.3%
不明 12 3.6%
333100%
【表4C】盗難原因(N=333)




(5)流出経路別集計~84%は保管や持ち出しなど運用ルールの問題

 流出経路の集計を図と表5A、5Bに示す。件数は、一部にPCと書類のような複合が存在する。流出数は、判明しているもののうち複数にまたがるものを除いた1,502件を対象に集計した。


【図5A】経路別件数(N=1,671 複数選択あり)

経路件数包含率
書類93455.9%
ネットワーク 229 13.7%
本体 214 12.8%
メール 128 7.7%
可搬媒体 115 6.9%
FAX 50 3.0%
その他 35 2.1%
不明 16 1.0%


 流出経路では、総件数の55.9%が書類(紙媒体やそれを記録したマイクロフィルム)を含んでおり、個人情報を扱う業務の多くで紙に依存している状況が伺える。本体(PC、携帯端末、携帯電話など単体でデータにアクセス可能なもの)や可搬媒体(電子化されたデータを記録したメディア)の紛失や盗難においても、それぞれ1割程度が書類を含んでいる。

 本体214件の内訳は、PCが157件と圧倒的に多く、次いでPHSや携帯電話の37件(2件はPCと携帯電話の両方)、検針や料金徴収などに使用する専用端末20件と続き、デジタルカメラと携帯プレーヤーもそれぞれ1件ずつ報告されている。

 デジタルカメラは、医師が病変の記録に使用していたもので、患者の顔のほか名前やIDも含まれていた。携帯プレーヤーは、音楽用のものだがストレージとしても利用でき、個人情報を含むファイルを保存していた。携帯電話の盗難・紛失では、発覚後に遠隔操作でデータを消去したという報告がいくつかあり、当該機能の有用性が伺える。


【図5B】経路別流出数(N=1,502 複合は除外)

経路流出総数件数平均流出数
書類 3,271,932 854 3,831.3
ネットワーク 1,523,813 205 7,433.2
本体 5,342,339 159 33,599.6
メール 58,118 111 523.6
可搬媒体 6,876,105 90 76,401.2
FAX 411 42 9.8
その他 7,502 26 288.5
不明 5,674,700 15 378,313.3
22,754,9201,50215,149.7
【表5B】流出経路別流出総数(N=1,502 複合は除外)


 可搬媒体115件(種別不明5件を含む、複数種類の可搬媒体はなし)の内訳は、過半数を占めるメモリーカードやUSBメモリー(66件)を筆頭に、ハードディスク(15件)、フロッピーディスク(14件)、CD(6件)、MO(6件)、テープ(3件)と続く。

 とりわけ目を引くメモリ媒体は、大容量・低価格化が急速に進み、現在はGBクラスが数千円で購入できる。かつてのフロッピーディスクに代わる手軽なリムーバブルメディアとして普及しているが、情報流出面でもそれが反映された形だ。このメモリー媒体については、セキュリティ機能付きの製品が多数販売されており、それらの利用によって盗難や紛失時のリスクは大幅に低減できるだろう。

 本体や過般媒体は、書類に比べると件数こそ少ないが、大量のデータが保存されていることが多く、1件あたりの流出量は書類よりも1桁跳ね上がるのが特徴だ。

 これら書類、本体、可搬媒体のいずれかを含む流出は、1,671件中1,220件と全体の73.0%を占める。また、ネットワーク経由の229件中190件は、ウイルス感染によってPC本体や接続したメディアに保存されていた情報が流出したものである。これら1,410件(84.4%)に関しては、情報の管理方法や運用ルールの見直しとその徹底が、有効な対策になるのではないだろうか。




(6)流出情報別集計~流出数の上位を基本情報が占める

 図6A、表6Aに流出情報別の件数(不明以外は複合あり)を示す。流出情報別では、全体の86.4%に当たる1,443件の氏名を筆頭に、住所(907件・54.3%)、電話番号(595件・35.6%)と続く。筆頭の氏名を含まない流出では、メールアドレスのみ(94件)がトップで、次いで不明(77件)、その他のみ(21件)となる。

 不明は、個人情報が流出したと告知しているものの、どのような情報が流出したかについては全く触れていないケースで、中には、何らかの個人情報を流出してお詫びしているらしいこと以外は皆目見当が付かず、何のための公表なのか首を傾げたくなるリリースもある。

 その他には、写真、成績、診療情報、捜査情報、取引内容、スリーサイズなどのプライベートな情報、顧客番号(口座番号、クレジットカードの会員番号、アクセス制御用のIDを除く)のように単体では意味を持たないが他の情報と結び付くと問題の生じる恐れのあるものなどを計上している。その他のみの例では、写真、特定の個人を前提として流した情報、一部の人には個人を特定できる可能性のある情報などである。


【図6A】流出情報別件数(複数選択あり N=1,671)

流出情報件数包含率
氏名 1,443 86.4%
住所 907 54.3%
電話番号 595 35.6%
生年月日・年齢 351 21.0%
メールアドレス 214 12.8%
口座番号 135 8.1%
職業・勤務先 128 7.7%
性別 89 5.3%
カード番号 26 1.6%
ID・パスワード 22 1.3%
アンケート 11 0.7%
その他 878 52.5%
不明 77 4.6%
【表6A】流出情報別件数(複数選択あり N=1,671)


 流出情報別流出数(図6B、表6B)は、経路と違って大半が複数の情報を含んだ複合型であることから、流出数の判明している1,540件を対照に、単純に流出数を合算している。個々の流出情報別に集計しているわけではないので、一部に含まれているだけの情報も全件に含まれていたものとして計算されており、実際よりも大きな値になっている。

 基本情報と呼ばれている氏名、住所、電話番号、生年月日・年齢、性別は、いずれも流出数が多い。性別に関しては、件数こそ少ないものの他の基本情報並みの流出総数を示しており、流出総数を左右する大規模流出には、性別まで含まれいていることが分かる。

 カード番号やID・パスワードといった、金銭的な二次被害に直結する可能性の高いアカウント情報の流出は、件数こそ20件前後と控え目だが、流出総数は83万件、91万件と相当な数が漏れている。


【図6B】流出情報別流出数(複数選択あり N=1,540)

流出情報流出総数件数平均流出数
氏名 22,299,003 1,361 16,384.3
住所 20,033,089 859 23,321.4
電話番号 13,299,381 570 23,332.2
生年月日・年齢 16,836,112 342 49,228.4
メールアドレス 6,229,759 192 32,446.7
口座番号 2,359,002 132 17,871.2
職業・勤務先 2,156,731 119 18,123.8
性別 14,556,474 88 165,414.5
カード番号 827,900 26 31,842.3
ID・パスワード 910,154 19 47,902.8
アンケート 1,896 11 172.4
その他 14,092,821 815 17,291.8
不明 90,908 54 1,683.5
【表6B】流出情報別流出数(複数選択あり N=1,540)


(明日につづく)



2007/04/26 19:29
鈴木直美
「PC Watch」や月刊誌「DOS/V POWER REPORT」他でパソコン・IT全般の解説記事などを執筆。「Windowsマシンのパーツがわかる本(木馬社)」、「明解 インターネット時代の標準ファイルフォーマット事典(インプレス)」など多数の著書がある。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.