日本ネットワークセキュリティ協会(JNSA)が2016年に発生した、個人情報漏洩事件について件数および、その内容についてまとめを発表しました。
JNSAによると、2016年に発生した個人情報漏洩事件の件数は468件で、被害総額(損害賠償額は)は2994億円にも上るとのことです。注目すべきは、インシデント1件当たりの平均損害賠償額は6億7439万円だったということで漏洩事件を起こした企業の負担は非常に重いことが可視化されたと思います。
業種別では、教育・学習支援業が107件と最も多く、次いで金融業・保険業が106件となっています。そのほかは情報通信業、小売り、福祉、賃貸業からホテル・宿泊業まで多岐の産業にわたりますが基本的に個人情報を扱っている事業体全体が被害に遭っているということが分ります。
漏洩規模(漏洩した人数)では100人~1000人までが全体の3割を占め、次いで10人から100人未満も3割弱となっています。
では漏洩した原因はどうなのでしょうか。グラフでは管理ミスが34%で一番多く、誤操作、不正アクセス、紛失・置忘れ、不正な情報持ち出し、と続きます。上位5番内の理由の中の3つは人間のうっかりミスが入っています。これらの多くは、社内規定やルールを決めていれば防げるものです。また決めていても、形骸化していたりそもそもルールが抜け落ちている場合もあります。セキュリティに関するルールは従来の社員規定とは別に、情報セキュリティポリシーという形で専門的に決めておくことが常識になりつつありますが、一度決めて終わりではなく、きちんと守られているのか、時代や環境にに合ったものなのか、を絶えずチェックする必要があります。
ところで漏洩事故をおこした企業が支払った一人当たりの賠償額はいくらだったのでしょうか。こちらもまとめてありますが企業側からすれば決して安いものではないということが分かります。
5000円未満が1位ですが2位は1万円未満となっています。仮に1000人に芭蕉すれば1000万円です。これは社員数10人程度で運営しているような小規模の企業にとっては事業の存続にいも影響がでる規模ではないでしょうか。
ニュースで取り上げられるインシデントは規模が大きいものが多く、対岸の火事と思いがちですがこのグラフからも分かるようにむしろ規模の小さい事故が全体の3割なのですから現実的に起こり得るんだということを中小企業の経営層は認識すべきでしょう。
詳細;JNSA 2016年情報セキュリティインシデントに関する調査報告書【速報版】
PARTNER
