2010incident survey pil_v1.2

２０１０年
情報セキュリティインシデントに関する
調査報告書
～個人情報漏えい編～

第 1.2 版

2011 年 7 月 1 日

2011 年 8 月 4 日改訂

NPO 日本ネットワークセキュリティ協会

セキュリティ被害調査ワーキンググループ

© Copyright 2011 NPO Japan Network Security Association (JNSA)

目次
1 はじめに .............................................................................................................................. 1

2 報告書について ................................................................................................................... 1

2.1 報告書の目的 .................................................................................................................. 1
2.2 報告書の構成 .................................................................................................................. 2
2.3 調査・分析方法 .............................................................................................................. 2

3 2010 年の個人情報漏えいインシデントの分析結果 ............................................................ 3

3.1 概要 ................................................................................................................................ 3
3.2 個人情報漏えいインシデント・トップ 10 ..................................................................... 4
3.3 業種 ................................................................................................................................ 5
3.4 原因 .............................................................................................................................. 12
3.5 漏えい媒体・経路 ........................................................................................................ 19
3.6 漏えい規模 ................................................................................................................... 25
3.7 漏えい情報の価値 ........................................................................................................ 29
3.8 経年分析 ....................................................................................................................... 33

4 2010 年想定損害賠償額の算定結果 ................................................................................. 36

4.1 想定損害賠償総額 ........................................................................................................ 36
4.2 一人あたりの想定損害賠償額 ...................................................................................... 37
4.3 一件あたりの想定損害賠償額 ...................................................................................... 40

5 個人情報漏えいにおける想定損害賠償額の算出モデル .................................................... 42

5.1 想定損害賠償額の算出の目的 ...................................................................................... 42
5.2 想定損害賠償額算定式の解説 ...................................................................................... 42
5.2.1 想定損害賠償額算定式の策定プロセス ................................................................ 42
5.2.2 算定式の入力値の解説.......................................................................................... 43
5.2.3 想定損害賠償額算出式.......................................................................................... 49

6 最後に ............................................................................................................................... 50

6.1 推定公表率について ..................................................................................................... 50
6.2 2010 年インシデントの特徴 ........................................................................................ 53
6.3 まとめ........................................................................................................................... 54

7 お問い合わせ先 ................................................................................................................. 56

8 【付録 1】漏えい原因の定義.........................................................................................付録 1-1

i

9 【付録 2】インシデント一覧表 ...............................................................................付録 2-1

9.1 2010 年個人情報漏えい事件・事故（表Ａ） .................................................... 付録 2-1
9.2 2010 年個人情報漏えいによる想定損害賠償額（表Ｂ） ................................ 付録 2-34

ii

JNSA 調査研究部会セキュリティ被害調査ワーキンググループ
ワーキンググループリーダー
大谷尚通株式会社 NTT データ
メンバー
井口洋輔 NKSJ リスクマネジメント株式会社
猪俣朗トレンドマイクロ株式会社
大溝裕則株式会社 JMC
岡本一郎株式会社インフォセック
佳山こうせつ富士通株式会社
北野晴人日本オラクル株式会社
佐藤康彦マイクロソフト株式会社
佐藤耕太郎日本オラクル株式会社
田中洋株式会社インフォセック
馬鳥雄也日本オラクル株式会社
広口正之リコー・ヒューマン・クリエイツ株式会社
丸山司郎株式会社ラック
山田英史株式会社ディアイティ
吉田裕美株式会社ラック

著作権・引用について
本報告書は、NPO 日本ネットワークセキュリティ協会(JNSA) セキュリティ被害調
査ワーキンググループが作成したものである。著作権は当該 NPO に属するが、本報告
書は公開情報として提供される。ただし、全文、一部にかかわらず引用される場合は、
「（引用）JNSA 2010 年情報セキュリティインシデントに関する調査報告書」と記述
して欲しい。なお、報告書の文書を改変して使用する、あるいは報告書内の集計データ
を独自に再編して新たなグラフを作成するなど、報告書内の情報を加工して使用する場
合は「引用」ではなく「参考」と表記していただきたい。
また、書籍、雑誌、セミナー資料などに引用される場合は、JNSA のホームページ上
にある問い合わせフォームをご利用ください。


1 はじめに
JNSA セキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故
（以降「インシデント」という）の調査分析は今回で 9 回目となる。
JNSA セキュリティ被害調査ワーキンググループでは、2009 年と同様に、これまで
の調査方法を踏襲し、2010 年に新聞やインターネットニュースなどで報道された個人
情報漏えいインシデント（以下、インシデントという）の情報を集計し、分析を行った。
この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏
JO
えい経路などの情報の分類、モデル（JNSA Damage Operation Model for Individual
Information Leak）を用いた想定損害賠償額などを分析した結果を報告書にまとめた。
このような結果をもたらした原因分析も含め、以下に 2010 年のインシデントの集計・
分析結果、及び過去 6 年間の蓄積されたデータを元にした経年変化の分析結果を報告す
る。

2 報告書について

2.1 報告書の目的
本報告書は、2010 年一年間に報道されたインシデントを調査・分析し、独自の観点
から評価した結果である。
個人情報は個人情報保護法により保護を義務付けられた情報資産であり、個人情報漏
えいは企業の経営者や組織の責任者が認知すべきリスクのひとつである。
当ワーキンググループでは、インシデントにおける「損害賠償の可能性」について、
今後の議論の題材になることや、企業経営者が考えるべき情報セキュリティのリスク量
の把握や、適切な情報セキュリティに対する投資判断の一助となることを目的として、
検討、及び提案を行う。

1

2.2 報告書の構成
本報告書の本編は、さまざまな個人情報漏えいのインシデントを分析した「第 3 章
2010 年の個人情報漏えいインシデントの分析結果」「第 4 章 2010 年想定損害賠償額
の算定結果」と、個人情報漏えいによる想定損害賠償を算出するモデルを解説した「第
5 章個人情報漏えいにおける想定損害賠償額の算出モデル」から構成される。
「第 3 章 2010 年の個人情報漏えいインシデントの分析結果」では、2010 年の単年の
分析結果、9 年間の蓄積されたデータのうち、直近 6 年間のデータに基づく経年の分析
結果の解説を行った。2002 年から 2004 年までのインシデント情報は公表件数が少なく、
統計データとしては偏りが大きいため、2010 年の分析では、これらを除外した。
「第 4 章 2010 年想定損害賠償額の算定結果」では、想定損害賠償額の算定結果と
その考察結果を解説した。2002 年から 2010 年までの 9 年間の個人情報漏えいに関する
数値は、新聞やインターネット上で報道された公開情報に基づいて、統計したものであ
る。一方、想定損害賠償額は、当ワーキンググループが独自に開発した算定手法に基づ
いて算出した推定データであることに注意されたい。
また、2009 年の報告書と同様に「インシデント一覧表」を付録とした。

2.3 調査・分析方法
2010 年 1 月 1 日から 12 月 31 日の間に新聞やインターネットニュースなどで報道さ
れたインシデントの記事、組織からリリースされたインシデントに関連した文書などを
もとにインシデントの情報を集計した。まず、収集した情報を元に、これまでと同様に
漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの分類・評価を行っ
た。次に、独自の算定式（JO モデル）を用いて、想定損害賠償額を算出した。
本調査データは、インターネット上に公開されたインシデントに関する情報を手作業
で収集し、記事や文書に書かれた内容から、インシデントの分析に必要な情報を取得し
ている。よって、可能な限り多くの情報を収集するように努力しているが、公表された
全てのインシデントの記事を収集できていないことを了承されたい。また、この報告書
に対する読者の問い合わせに対応し、結果の一部が誤っていることが判明した場合には、
随時これを訂正している。報告書を利用する場合には、ホームページ上に公開されてい
る最新の報告書を利用していただきたい。

2

3 2010 年の個人情報漏えいインシデントの分析結果

3.1 概要
漏えい件数は、2007 年以降継続して増加しており、1,679 件（前年比＋140 件）
と過去最高件数を更新した。これは、主に「公務」において漏えい件数が増加した
ことが影響しており、従来から積極的に情報漏えい事件を公表している特定の地方
自治体に加え、2010 年から、もう 1 か所の特定の地方自治体が積極的に公表を始め
たことが影響している。
漏えい人数は、約 558 万人（前年比－14 万人）と、2007 年以降継続して減少して
いる。これは、漏えい件数が増加する一方で、一件あたりの漏えい人数が小さい 100
万人未満の事件が増加していることが影響している。
想定損害賠償総額も、漏えい人数と同様に減少し、過去最低の約 1,215 億円（前年
比－2,675 億円）となった。これは総漏えい人数の減少と、1 件当たりの損害賠償額
の減少の両面に起因する。
漏えい原因としては、引き続き「管理ミス」
（610 件）「誤操作」
、（543 件）が大半
を占め 2010 年は、誤操作が増加（前年比＋174 件）している。
また、2010 年は特定の情報通信業において不正アクセスにより、大規模（約１７4
万人）な事件が 1 件発生しているため、人数ベースの漏えい業種は「情報通信業」、
漏えい原因は「不正アクセス」が突出した結果となっている。

2010 年の集計結果の概要データは、以下の通りである。

表 3-1：2010 年個人情報漏えいインシデント概要データ
漏えい人数 557 万 9316 人
インシデント件数 1679 件
想定損害賠償総額 1215 億 7600 万円
一件あたりの漏えい人数※1 3468 人
※1
一件あたり平均想定損害賠償額 7556 万円
一人あたり平均想定損害賠償額※2 4 万 3306 円

：平均値は、被害者数が不明のインシデント 70 件を除いて算出している。
※1

※2
：この平均値は一件あたりのばらつきを吸収するため、まず、各インシデントの一人
あたりの想定損害賠償額を算出し、そこから全てのインシデントの一人あたりの想定損
害賠償額の平均額を算出している。よって、想定損害賠償総額を漏えい人数で割った値
ではないことに注意されたい。

3

3.2 個人情報漏えいインシデント・トップ 10
表 3-2 に規模の大きいインシデント・トップ 10 を示す。2008 年は、漏えい人数
が 100 万人を超える大規模なインシデントは 1 件も発生せず、2009 年と 2010 年は
漏えい人数が 100 万人を超える大規模なインシデントが 1 件だけ発生した。
インシデント・トップ 10 の原因は、2008 年、2009 年と比較して「管理ミス」が
減少し、
「不正アクセス」
「内部犯罪・内部不正行為」
「不正な情報持ち出し」などの
故意を含んだ原因が目立っている。
業種は、「金融業，保険業」「公務」が減少し、「情報通信業」が増加した。

表 3-2：インシデント・トップ 10
No. 漏えい人数業種原因
1 173 万 5841 人情報通信業不正アクセス
2 46 万 3360 人情報通信業内部犯罪・内部不正行為
3 31 万人医療，福祉不正な情報持ち出し
４ 25 万 4122 人卸売業，小売業不正アクセス
５ 20 万 1414 人学術研究，専門・技術サービス業管理ミス
6 19 万 7907 人情報通信業盗難
7 19 万 7077 人製造業設定ミス
8 19 万 5132 人サービス業(他に分類されないもの) 不明
9 17 万 755 人サービス業(他に分類されないもの) 不正アクセス
10 17 万 325 人金融業，保険業管理ミス

4

3.3 業種

(1) 単年分析（件数）
宿泊業，飲食サービ
電気・ガス・熱供給・運輸業，郵便業ス業
水道業 9件 8件
建設業 0.5%
複合サービス事業 29件 0.5%
1.7% 19件学術研究，専門・技
23件 1.1% 術サービス業
1.4% 製造業
4件
不動産業，物品賃 24件 0.2%
1.4% 生活関連サービス
貸業
39件業，娯楽業
2.3% 情報通信業 9件
80件 0.5%
4.8%
卸売業，小売業
55件
3.3%
公務(他に分類され
サービス業(他に分
るものを除く)
類されないもの)
555件
58件
33.1%
3.5%
医療，福祉
156件
9.3%

金融業，保険業
420件
教育，学習支援業 25.0%
191件
11.4%

図 3-1：業種別比率（件数）

業種別のインシデント件数を図 3-1 に示す。インシデント件数の多い業種は、上
位から順に「公務」(33.1%)、
「金融業，保険業」(25.0 %)、
「教育，学習支援業」(11.4 %)、
「医療，福祉」(9.3%)であり、全体の約 80%を占めている。
「公務」及び「金融業，保険業」については、2004 年以降、常に上位を占める結
果となっている。これは、個人情報を取り扱うことの多いことに加え、個人情報保
護に関する行政の指導が強く働いている業種であり、小規模なインシデントであっ
ても公表することが多いためと考えられる。また「教育，学習支援業」
「医療，福祉」
も 2007 年以降、上位をあげてきており、インシデントを積極的に公表する傾向が浸
透してきていると考えられる。
インシデントが発生していないのは、第一次産業にあたる「農業、林業」「漁業」
「鉱業，採石業，砂利採取業」の 3 業種だけである。その他のすべての業種で個人
情報を利用しており、インシデント発生のリスクがあるという状況に変化は見られ
ない。

5

(2) 経年分析（件数）

公務(他に分類されるものを除く)

1,600件サービス業(他に分類されないもの)

複合サービス事業
1,400件 555件
医療，福祉
398件
教育，学習支援業
1,200件
469件生活関連サービス業，娯楽業
65件 58件
40件 23件
1,000件 64件宿泊業，飲食サービス業
139件 156件
81件学術研究，専門・技術サービス業
203件 4件
9件
69件 88件 2件
39件
800件 33件 21件 191件不動産業，物品賃貸業
54件 181件 91件
98件
84件 9件
8件
4件金融業，保険業
3件
15件 52件 47件 39件
600件 42件 32件 178件
108件 73件 4件卸売業，小売業
6件 33件 626件
293件 36件 88件
11件 420件運輸業，郵便業
400件 49件 159件
136件
131件情報通信業
114件 70件 73件
17件 6件 65件 56件電気・ガス・熱供給・水道業
200件 108件 10件 52件 55件
84件 95件 8件 9件
98件 81件 80件
66件 61件 39件製造業
52件 32件 37件 29件 29件
49件 37件 28件 23件 24件
0件 11件
1件 9件
6件 6件
4件 2件 18件 19件建設業
2005年 2006年 2007年 2008年 2009年 2010年
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 農業，林業

図 3-2：業種別件数の経年変化（件数）

業種別のインシデント件数を積み上げた棒グラフを図 3-2 に示す。2009 年に大き
く増加した「金融業，保険業」は 2010 年には減少したが、依然として大きな件数を
維持している。年毎の件数の変動が大きい理由は、そのタイミングでなにかしらの
内外の要因が働いているためと思われる。
また 2008 年まで増加傾向にあり、2009 年に減少に転じたかに見えた「公務」及
び「教育，学習支援業」の件数は、2010 年に再び大きな増加を見せた。
「公務」及び「教育，学習支援業」の増加傾向の要因としては、インシデントを公
表するようになってきたこと、業務で PC や USB メモリなどの使用が増加している
こと、自治体などで臨時職員や派遣職員が増加しており、情報漏えいを防止するた
めの教育が浸透していないことなどが挙げられるが、こうした傾向は引き続き進行
していると考えられる。

6

100%

13.5%
90% 20.4% 20.9% 公務(他に分類されるものを除く)
25.9%
6.7% 34.2% 33.1% サービス業(他に分類されないもの)
80% 複合サービス事業
3.2%
5.4%
5.2% 9.9% 医療，福祉
3.7% 4.2%
70%
8.1% 2.6% 教育，学習支援業
5.2% 8.4% 4.2% 3.5%
0.3%
0.0% 4.2% 6.4% 1.4% 生活関連サービス業，娯楽業
1.5% 5.3%
60% 0.3%
1.5% 9.3% 宿泊業，飲食サービス業
10.9%
10.2%
6.6% 2.5% 0.6%
0.1%
0.0%
1.3% 学術研究，専門・技術サービス業
50% 0.0%
0.6%
0.0% 0.0%
28.4% 3.6% 5.7% 11.4% 不動産業，物品賃貸業
13.0%
40% 0.5%
0.2% 金融業，保険業
13.7% 0.0%
0.3% 2.3%
15.2% 2.4% 卸売業，小売業
40.7%
30% 11.6% 運輸業，郵便業
11.0% 7.0%
0.6% 7.5% 25.0% 情報通信業
20% 1.6% 1.2% 5.3%
10.9% 電気・ガス・熱供給・水道業
8.1% 4.1%
11.3% 製造業
6.9% 3.4% 3.3%
10% 6.4% 6.1% 0.5% 0.5%
3.7% 5.3% 建設業
2.8% 4.8%
4.7% 5.2% 4.3% 2.7% 1.9% 1.7% 農業，林業
1.1% 0.9% 0.7% 2.0% 1.5% 1.4%
1.1%
0% 0.1% 0.6% 0.5% 0.1% 1.2%
2005年 2006年 2007年 2008年 2009年 2010年
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679)

図 3-3：業種別比率の経年変化（件数）

業種別インシデント件数の比率の推移を図 3-3 に示す。2009 年に「公務」に代わ
り「金融業，保険業」が一番となったが、2010 年には再び「公務」が一番多くなっ
た。これは「公務」の件数が増加した一方、
「金融業，保険業」の件数が減少したこ
とによる。
2009 年には減少した「教育，学習支援業」の割合が再び増加したほか、2008 年か
ら減少傾向にあった「医療，福祉」が再び増加している。全体の件数が増加してい
る中、いずれも割合が伸びているのは、大幅な件数の増加が反映されたことによる。

7

(3) 単年分析（人数）
電気・ガス・熱供給・水
公務(他に分類される生活関連サービス業，道業
ものを除く) 娯楽業 8,705人
57,921人 25,387人運輸業，郵便業 0.2%
1.0% 0.5% 23,896人
0.4% 宿泊業，飲食サービス
複合サービス事業業
140,398人 8,692人
2.5% 建設業
0.2%
2,334人
教育，学習支援業 0.0%
134,805人
2.4% 不動産業，物品賃貸
学術研究，専門・技術
業
サービス業
1,553人
201,980人
3.6% 製造業 0.0%
232,130人
4.2%

医療，福祉
337,549人
6.1% 情報通信業
卸売業，小売業 2,548,757人
341,647人 45.7%
6.1%

サービス業(他に分類
されないもの)
520,450人
993,112人
9.3%
17.8%

図 3-4：業種別比率（人数）

業種別での個人情報の漏えい人数を図 3-4 に示す。上位から順に「情報通信業」
(45.7%)、
「金融業，保険業」(17.8%)、
「サービス業」(9.3%)であり、大量の個人情報
を電子的に処理することの多い業種に集中した。
とくに「情報通信業」では漏えい人数 10 万人以上のインシデントが 4 件発生して
おり、この 4 件だけで合計人数は 2,497,108 人にのぼる。これは「情報通信業」の
98.0%、全業種合計の 44.8%を占める人数である。
「金融業，保険業」は 2009 年には突出した大規模なインシデントが多数発生した
が、2010 年は大規模なインシデントが少なく、漏えい人数としては 2009 年の半分
以下に減少した。
「教育，学習支援業」は、図 3-1 に示すように件数では全体の 11.4%を占めるが、
図 3-4 に示すように人数では 2.4%と少ない。これは、「教育，学習支援業」におい
て扱う個人情報にクラス単位などが多く、他の業種のインシデントと比較して規模
が小さいためであると考えられる。
「公務」については、人数の比率はさらに少なく 1.0%でしかない。これは、
「公務」
の件数のほとんどを小規模インシデントが占めるためである。

8

50,495人
50,000人

40,000人 36,411人

30,000人

20,000人

10,009人
9,672人
10,000人 6,972人
6,104人
2,821人2,987人2,376人2,192人
1,087人 779人 300人
123人 109人 43人
0人

医療，福祉(n=156)
金融業，保険業(n=420)
製造業(n=24)

運輸業，郵便業(n=9)

建設業(n=19)
情報通信業(n=80)

卸売業，小売業(n=55)

教育，学習支援業(n=191)

電気・ガス・熱供給・水道業(n=29)

不動産業，物品賃貸業(n=39)
複合サービス事業(n=23)

宿泊業，飲食サービス業(n=8)
学術研究，専門・技術サービス業(n=4)

生活関連サービス業，娯楽業(n=9)
サービス業(他に分類されないもの)(n=58)

公務(他に分類されるものを除く)(n=555)
図 3-5：業種別の一件あたりの漏えい人数

インシデント一件あたりの漏えい人数（平均人数）を図 3-5 に示す。「学術研究，
（約 5 万人）が突出しているが、これは 4 件のインシデント
専門・技術サービス業」
のうち 1 件が 20 万人以上の大規模インシデントであったためである（残りの 3 件は
数十～数百件程度の小規模インシデントである）。
これにつづく上位の業種は「情報通信業」 3.6 万人）
（約「サービス業」 1 万人）
、（約、
「製造業」（約 9,700 人）となっている。
インシデントの件数では 1 位だった「公務」の漏えい人数平均がわずかに 109 人
であるが、これは前述のとおり小規模インシデントを多く含むためである。「公務」
のインシデント 555 件のうち、395 件(71.2%)は 10 人未満の小規模インシデントで
ある。こうしたインシデントの多くは、紙媒体の誤交付・誤送付などの誤操作、管
理ミス、紛失・置き忘れによるものであった。
業種別での漏えい規模の比較は、「3.6 漏えい規模」の図 3-23 を参照されたい。

9

(4) 経年分析（人数）

3,000万人
サービス業(他に分類されないもの)

2,500万人医療，福祉

1,498.6万人教育，学習支援業
193.6万人
2,000万人生活関連サービス業，娯楽業

宿泊業，飲食サービス業
586.1万人
学術研究，専門・技術サービス業
1,500万人 54.8万人
67.7万人不動産業，物品賃貸業
195.8万人 346.0万人金融業，保険業
61.2万人
77.3万人卸売業，小売業
1,000万人 54.0万人
60.3万人
88.1万人 473.0万人運輸業，郵便業

293.1万人情報通信業
61.7万人
500万人
547.9万人 899.1万人電気・ガス・熱供給・水道業
101.8万人
545.7万人 162.8万人 332.3万人
製造業
98.7万人 254.9万人
116.3万人
0万人建設業
2005年 2006年 2007年 2008年 2009年 2010年農業，林業
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679)

図 3-6：業種別漏えい人数の経年変化（合計）

業種別の個人情報漏えい人数を積み上げたグラフを図 3-6 に示す。2006 年、2007
年の漏えい人数が多くなっているが、いずれの年も 100 万人以上の大規模なインシ
デントが発生した年である。そのため、大規模なインシデントが発生した業種の人
数が特異的に増えてしまい、2006 年は情報通信業が、2007 年では複合サービス業
が突出したグラフになっている。同様に 2010 年は「情報通信業」が数としては他業
種より突出している。つまり、業種別の個人情報漏えい人数に関しては、業種によ
る特徴よりも、大規模な情報漏えいインシデントが発生した業種が目立つ傾向にな
っている。

10

(5) 相関分析
2,548,757人 600件
2,500,000人
555件
500件
2,000,000人
420件
400件
1,500,000人人数
300件
件数
993,112人
1,000,000人
191件 200件
520,450人 156件
341,647人
500,000人 337,549人
232,130人 140,398人 100件
80件 58件 201,980人 57,921人 8,705人 1,553人
55件 134,805人 25,387人 8,692人
24件 23,896人 29件 2,334人 39件
23件 9件 9件 19件
0人 4件 8件 0件
製造業

建設業
医療，福祉
情報通信業


卸売業，小売業

運輸業，郵便業

電気・ガス・熱供給・水道業
教育，学習支援業

宿泊業，飲食サービス業

不動産業，物品賃貸業

生活関連サービス業，娯楽業
サービス業(他に分類されないもの)


図 3-7：業種別のインシデント件数と漏えい人数

業種別のインシデント件数と漏えい人数の関係を図 3-7 に示す。2010 年に 10 万
人以上の大規模インシデントが 4 件発生した「情報通信業」は、インシデント件数
に比して漏えい人数が突出して多い。逆に、インシデント件数の多かった「公務」
「金
融業，保険業」「教育，学習支援業」
「医療，福祉」は、小規模インシデントでも公
表されることが多いため、インシデント件数に対して漏えい人数は少ない。
2009 年までの傾向として、一部の業種を除いて、インシデント件数と漏えい人数
はほぼ正相関の関係にあった。これは多くの業種で共通して、ある程度以上の規模
のインシデントしか公表しない風潮があったためと思われる。
しかし、2010 年にはこの相関関係が崩れつつあるように見える。複数の業種にお
いて小規模インシデントでも公表することが多くなり、業種間での差が開きつつあ
るのではないかと推測される。

11

3.4 原因


不正アクセス内部犯罪・内部不正
17件行為
1.0% 目的外使用 9件
10件 0.5%
ワーム・ウイルス
設定ミス 0.6%
6件その他
17件
0.4% 19件
1.0%
1.1%
バグ・セキュリティホー
ル不明
25件
12件
1.5% 0.7%
不正な情報持ち出し
73件
4.3%
盗難
128件
7.6%
管理ミス
紛失・置忘れ 609件
211件 36.3%
12.6%

誤操作
543件
32.3%

図 3-8：漏えい原因比率（件数）

個人情報漏えい件数の原因比率を図 3-8 に示す。
2010 年は「管理ミス」「誤操作」「紛失・置き忘れ」で約 80％を占めた。
、、
「管理ミス」に区分されるインシデントは、組織としてルールが整備されていない、
もしくはルールは存在しているものの遵守されていないために社内や主要な流通経
路で発生するインシデントである。
組織としてルールが整備されていないことによるインシデントは、発見が遅れイン
シデントに至る経緯を明確できない場合も多い。一方、ルールが徹底されていない
ことによって発生するインシデントは、比較的早く発見され、経緯も明確にしやす
い場合が多い。発見の遅れや不明確なままの経緯はインシデントの被害を大きくす
る。まずは個人情報を守るためのルール作りが望まれる。
「誤操作」及び「紛失・置き忘れ」はヒューマンエラーである。そのため対策とし
ては、人的な対策として担当者へのセキュリティ教育(オペレーションの教育も含む)、
及び組織的な対策としてヒューマンエラーを減らす予防対策として手順づくりが重
要となる。ヒューマンエラーは必ず起こることを前提として暗号化などの漏えい対
策や、紛失しても被害が拡大しない対策もあわせて行うとも検討する。

12

100% 1.5% 1.2% 1.0% 0.7%
2.1% 1.7% 0.9% 1.4% 1.0% 1.1%
0.5%
1.4% 0.6%
1.9% 2.1% 5.8% 3.4% 4.3% 不明
7.9%
90% 3.3% 8.2%
5.1% その他
1.2%
8.3% 内部犯罪・内部不正行為
80% 20.4% 22.2%
12.4% 1.7%
36.3% 目的外使用
70% 14.7% 3.9% 4.4% 50.9%

60% 管理ミス
18.2% 1.0%
設定ミス
50% 42.1%
29.2% 35.2%
誤操作
0.9%
40% 32.3%
20.5% 紛失・置忘れ

30% 24.0% 盗難

19.0% 14.1% 不正アクセス
20%
16.6%
25.8% 12.6% ワーム・ウイルス
0.9% 7.9%
10% 0.8% 11.2% バグ・セキュリティホール
12.2% 8.3% 7.6% 7.6%
1.4% 2.2%
1.1% 1.0%
0.4%
0% 0.2% 1.2% 1.6% 1.3% 1.5%
0.9%
2005年 2006年 2007年 2008年 2009年 2010年
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679)

図 3-9：漏えい原因比率の経年変化（件数）

個人情報漏えい件数の原因比率の経年変化を図 3-9 に示す。
比率において 2009 年で 50.9%を占めていた「管理ミス」が 2010 年では 36.3%と
なり、件数では 784 件から 609 件となった。「誤操作」 24.0%から 32.3%、
一方で、が
件数では 369 件から 543 件、「紛失・置き忘れ」が 7.9%から 12.6%、件数では 122
件から 211 件に増加している。
管理ミス及び誤操作、・
紛失置き忘れはヒューマンエラーである。これらの増加は、
個人情報の取り扱いに関する担当者の意識低下と結びつけることもできる。今後注
視する点である。
管理ミスの比率、件数に関しては、2010 年は 2009 年よりも減少しているが、2005
年からの変化でみると、全体的には増加傾向にあるといえる。

13


ワーム・ウイルス目的外使用
バグ・セキュリティ 2,397人
15,061人
ホール誤操作 0.3% 0.0%
45,954人 41,234人
設定ミスその他
0.8% 0.7%
203,330人 5,559人
3.6% 0.1%

紛失・置忘れ不明
207,643人 203,419人
3.7% 3.6%
不正な情報持ち出
し
350,589人
6.3%
不正アクセス
内部犯罪・内部不 2,215,873人
正行為 39.7%
470,743人盗難
8.4% 571,742人
10.2%
管理ミス
1,245,772人
22.3%

図 3-10：漏えい原因比率（人数）

個人情報漏えい人数の原因比率を図 3-10 に示す。
漏えい人数の原因比率を示す上記図 3-10 と前述した漏えい件数の原因比率であ
る図 8 を比べると、傾向に違いが見られる。図 3-8 のように件数で集計すると、
「管
理ミス」「誤操作」
、「紛失・置き忘れ」など当事者には悪意がない原因が並ぶが、図
3-10 のように人数で集計すると、
「盗難」
「内部犯罪・内部不正行為」
など当事者に悪意が認められる原因が上位に入る。
漏えい人数が最も多かった「不正アクセス」は例年、1 件あたりの被害が大きくな
る傾向があり、それは 2010 年も同様であった。そのため発生件数が少ない中で漏え
い人数が最大となった。
「内部犯罪・内部不正行為」は、際だって大きな漏えいイン
シデントが 1 件(約 46 万人)あり、それが漏えい人数を伸ばしている。
「管理ミス」に関しては、悪意がない原因にもかかわらず、件数とともに被害人数
も多い。ここでも「管理ミス」への対策は重要であることが読み取れる。

14

138,492人
140,000人
120,000人
100,000人
78,457人
80,000人
60,000人
40,000人
13,555人 16,952人
20,000人 5,156人 4,765人 3,765人 2,089人 2,087人 1,043人 266人 78人 556人
0人

管理ミス(n=609)

誤操作(n=543)

不明(n=12)
その他(n=19)
不正アクセス(n=17)

設定ミス(n=17)

盗難(n=128)

紛失・置忘れ(n=211)

目的外使用(n=10)
ワーム・ウイルス(n=6)

バグ・セキュリティホール
内部犯罪・内部不正行為

(n=73)

(n=25)
(n=9)

図 3-11：漏えい原因別の一件あたりの漏えい人数

漏えい原因別の一件あたりの漏えい人数を図 3-11 に示す。
図 3-11 からは、
「内部犯罪・内部不正行為」の一件あたりの漏え
い人数が目立つ。ただし「内部犯罪・内部不正行為」は前述したとおり突出した 1
件のインシデントによって平均人数をあげたものである。
「不正アクセス」に関しては毎年、一件のインシデントで大量の個人情報が漏えい
する傾向にあるが、その傾向は 2010 年も同様である。2010 年の被害人数が多いイ
ンシデントの上位 10 位のうち 3 件が不正アクセスを原因としている。
「不正アクセ
ス」は悪意のある者が個人情報の集まりであるファイルやデータベースを対象にし
て行うため、発覚すると常にまとまった数の個人情報件数が漏えいすると推測され
る。

15

管理ミス(n=609) 誤操作(n=543) 不正アクセス(n=17)
10万～100
1000～1万 10万～100 1万～10万 1～10人未
1万～10万人未万人未満不明 100万人以
人未満万人未満人未満不明満
満 2件 12件上 10～100人
6件 1件 1件 1件
12件 0% 2% 0件 1件未満
100～1000 1% 0% 6% 6%
2% 0% 不明 6% 2件
人未満
1～10人未満 12件 12%
34件
105件 2% 10万～100
6%
1000～1 17% 10～100人万人未満
万人未満未満 2件 100～1000
130件 68件 12% 人未満
22% 13% 2件
10～100人未満 1万～10万
100～1000人未 12%
165件 1～10人未人未満
満 27% 満 1000～1万
3件
183件 422件人未満
17%
30% 78% 5件
29%

図 3-12：漏えい原因の人数区分（件数）

特徴的な漏えい人数区分を示す 3 つの原因を図 3-12 に示す。
件数では第 1 位、漏えい人数では第 2 位の「管理ミス」は 100 人未満と 1000 人未
満の情報漏えいインシデントが多いと言えるが、漏えい人数の幅が広く少ない被害
で収まらないことがわかる。
件数で第 2 位であった「誤操作」は、10 人未満の情報漏えいインシデントが 4 分
の 3 以上を占めており、少ない人数の漏えいインシデントが目立つ。
漏えい人数で第 1 位であった「不正アクセス」は、1000 人以上～1 万人未満の規
模のインシデントが最も多いが、10 万人以上の規模のインシデントを合計すると 6
件発生している。全体で 16 件しか報告されていない「不正アクセス」において、6
件の比率は大きく、ここでも「不正アクセス」が大規模なインシデントに結びつき
やすい傾向がわかる。
これらの傾向から「管理ミス」に対する個人情報の管理対策を実施していくと同時
に、被害が大きくなる「不正アクセス」への対策についても、優先順位を上げて検
討しておく必要があると考えられる。

16

(4) 業種別（件数）
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

公務(他に分類されるものを除く)(n=557) 14.0% 58.9% 15.4% 4.5% 3.1%
1.3%0.5%
0.2%
0.4%0.2%
0.4%

金融業，保険業(n=423) 92.2% 2.1%0.0%
2.6%
0.9%
0.5%
0.2%

教育，学習支援業(n=190) 29.5% 6.8% 13.7% 14.2% 27.4% 0.0%
0.5%
2.6%
2.1%

医療，福祉(n=155) 15.5% 58.7% 7.7% 10.3% 5.8%

情報通信業(n=80) 12.5% 25.0% 31.3% 5.0% 10.0% 1.3%
1.3% 2.5%

サービス業(他に分類されないもの)(n=59) 10.2% 42.4% 10.2% 16.9% 5.1% 6.8%0.0%
0.0% 1.7%
1.7%

卸売業，小売業(n=55) 25.5% 25.5% 7.3% 12.7% 10.9%0.0%10.9%0.0%
1.8%

不動産業，物品賃貸業(n=39) 15.4% 48.7% 12.8% 23.1%

電気・ガス・熱供給・水道業(n=29) 13.8% 24.1% 41.4% 20.7% 0.0%

製造業(n=25) 8.0% 24.0% 24.0% 28.0%

複合サービス事業(n=20) 50.0% 15.0% 20.0% 15.0%

建設業(n=19) 15.8% 21.1% 36.8% 21.1%

運輸業，郵便業(n=9) 22.2% 11.1% 44.4%

生活関連サービス業，娯楽業(n=8) 12.5% 12.5% 50.0%

宿泊業，飲食サービス業(n=8) 25.0%

管理ミス(n=610) 誤操作(n=543)
紛失・置忘れ(n=210) 盗難(n=128)
不正な情報持ち出し(n=72) バグ・セキュリティホール(n=25)
その他(n=20) 設定ミス(n=17)
不正アクセス(n=16) 不明(n=12)
目的外使用(n=10) 内部犯罪・内部不正行為(n=9)
ワーム・ウイルス(n=7)

図 3-13：業種別の漏えい原因比率（件数）

業種別の漏えい原因比率を図 3-13 に示す。
「誤操作」の占める比率が高く、公表された件数は 328 件となってい
「公務」は、
る。2010 年の「誤操作」の全件数は 543 件であるため「誤操作」の 60%を占めてい
ることになる。内訳としては、郵送やメールの誤送付が多く、日常業務の中で情報
送付という作業が多いことに起因していると推測される。
「医療、福祉」においても
「誤操作」の比率が高いが、
「公務」と同じく郵送やメールの誤送付が多い。同様の
背景があると思われる。
「管理ミス」の占める比率が高く 90%を占める。インシデ
「金融業，保険業」は、
ントの傾向としては個人情報の保管状況を再確認した結果、紛失、誤廃棄が判明し
たというケースが多い。複数の支店、支社の状況の確認を組織的に実施しているケ
ースも多く、
「金融業，保険業」の管理意識の高さが察せられる。
「教育・学習支援業」「不正な情報持ち出し」
は、の比率が他の業種に比べて高い。
件数は 57 件で、他の業種に比べて突出しており、「不正な情報持ち出し」がもっと
も多い業種となっている。
「不正な情報持ち出し」は当事者の意識の問題によるとこ

17

ろが大きいが、まとまった件数が発生する場合は、業務特性と個人情報の持ち出し
ルールがかい離し、形骸化している可能性もある。ルールの形骸化は実質的には管
理されていない状態であるためインシデントの発生を抑えることができない。現状
の分析から、的を射た対策が求められる。

18

3.5 漏えい媒体・経路


インターネット
不明
82件 PC本体
14件
4.9%
55件 2.4% 0.8%
電子メール 3.3%
115件
6.8%

USB等可搬記
録媒体
208件
12.4% 紙媒体
1,165件
69.4%

図 3-14：漏えい媒体・経路（件数）

漏えい媒体・経路別のインシデント件数を図 3-14 に示す。漏えい媒体・経路では、
「紙媒体」がインシデント件数の 69.4%を占める。紙媒体は、業種や業務内容に関
わらず、どんな場合においても多用される、使用機会の多い媒体であるため、それ
だけ漏えいすることが多い。また紙媒体によって漏えいした原因は、保管中の情報
を誤廃棄するなどの「管理ミス」や、誤送付、誤交付といった「誤操作」によるも
のが多い。次に「USB 等可搬記録媒体」が 12.4%、
「電子メール」が 6.8%を占める。

19


100% 1.6% 0.8% 0.7% 0.8% 0.8%
3.1% 5.1% 1.9% 2.4%
0.0%
6.8% 6.4%
0.1% 7.0% 6.8%
6.6% 5.9%
90% 8.1%
7.7% 4.5% 4.9%
6.4% 9.8%
80% 9.4%
11.7% 12.4%
15.7% 22.0% 3.8%
70% 15.4% 3.3%
9.9%
不明
60% 7.3%
16.8% 8.2% 12.5% その他

50% 電子メール
10.7%
10.9% インターネット
40% USB等可搬記録媒体
72.6%
69.4% PC本体
30%
55.9% 紙媒体
49.9%
43.8%
20% 40.4%

10%

0%
2005年 2006年 2007年 2008年 2009年 2010年
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679)

図 3-15：漏えい経路比率の経年変化（件数）

漏えい経路比率の経年変化について図 3-15 に示す。
「紙媒体」による漏えい件数は、2009 年に引き続き 2010 年も大幅に増加した。
ただし、「USB 等可搬記録媒体」の件数は増加している。「PC 本体」「インターネ
、
ット」は 2008 年以前と比較すると減少している。

20


その他
42,572人電子メール
紙媒体
0.8% 24,982人
409,997人
7.3% 0.4%
不明
560,202人
10.0%

PC本体インターネット
802,182人 2,692,603人
14.4% 48.3%

USB等可搬記
録媒体
1,046,778人
18.8%

図 3-16：漏えい媒体・経路（人数）

漏えい媒体・経路別の漏えい人数を図 3-16 に示す。個人情報が漏えいした人数は、
「インターネット」が約 48.3%を占める。図 3-16 に示すように「インターネット」
はインシデントの件数は少ないが、1 件あたりの漏えい人数が多く、かつ、その中に
は、大規模なインシデントが数件含まれているため、このような結果となった。
「表
3-2：インシデント・トップ 10」のうちの 5 件が昨年の「USB 等可搬記録媒体」に
代わり「インターネット」よるものであり、この 5 件のインシデントだけで合計約
255 万人、漏えい人数の実に約 45％を占める。
一方、2009 年に最も人数の多かった「USB 等可搬記録媒体」 18.8％であった。
は、
このように、大規模インシデントが人数の比率に大きく影響する。

21

50,000人 46,683.5人
45,000人
37,924.0人
40,000人
35,000人
30,000人
25,000人
20,000人 16,371.1人
15,000人
10,000人 5,286.8人
5,000人 361.5人 231.3人
0人

紙媒体(n=1165)
PC本体(n=55)

不明(n=14)
電子メール(n=115)
USB等可搬記録媒体(n=208)
インターネット(n=82)

図 3-17：漏えい媒体・経路別の一件あたりの漏えい人数

漏えい媒体・経路別のインシデント一件あたりの漏えい人数を図 3-17 に示す。漏
えい媒体・経路別の一件あたりの平均漏えい人数は、「インターネット」「PC 本体」
「USB 等可搬記録媒体」が多い。
「インターネット」の平均漏えい人数が多い理由は
前述した数件の大規模インシデントが影響している面もあるが、これらの媒体・経
路は、いずれも個人情報が扱い易い電子データ（ファイル）に保存されていること、
個人情報が一度に大量に保存・管理されていることが関係している。
なお、漏えい媒体・経路が「不明」の平均漏えい人数が突出して大きい理由は、14
件のうちの 1 件が約 46 万人の大規模インシデントであったことによるものである。

22

100% 2.7%
0.3% 4.8% 5.2% 7.5%
10.9% 0.0%
1.0% 0.0%
9.2% 14.6% 5.2% 14.3%
90% 6.3% 5.0%
5.5%
5.5% 4.9% 10.0% 7.1%
80% 15.8%
21.6% 7.3% 27.8% 不明
70% 14.3% 100万人以上
20.0% 17.5%
14.6% 10万～100万人未満
60% 22.0% 7.1%
1万~10万人未満
50% 14.3% 1000~1万人未満
37.0% 18.3%
27.3% 32.5% 100~1000人未満
40% 44.3%
14.3% 10~100人未満
30% 1~10人未満
24.4%
50.1%
20%
27.3% 24.0%
27.5% 28.6%
10% 17.4%
14.6%
3.6% 5.3%
0%
PC本体(n=55)

不明(n=14)
その他(n=40)
紙媒体(n=1165)

電子メール(n=115)
USB等可搬記録媒体(n=208)

インターネット(n=82)

図 3-18：漏えい規模比率(件数)

漏えい媒体・経路別のインシデントの漏えい規模（件数）の比率を図 3-18 に示す。
「紙媒体」を媒体・経路とするインシデントは、漏えい規模が 1000 人未満のイン
シデントが約 90%を占め、とくに 1~10 人未満の小規模なインシデントの比率が約
50%と最も高い。「電子メール」も漏えい規模が 1000 人未満のインシデントの比率
が約 90%を占めるが、その内訳は異なり、10～100 人未満のインシデントの比率が
約 44%と高い。
一方で「インターネット」によるインシデントは、漏えい規模が 1000 人未満のイ
ンシデントの比率が低く、10 万人以上の比較的規模の大きいインシデントの比率が
高い。100 万人以上の大規模なインシデントも発生している。

23

(4) 業種別（件数）

100% 0.0% 0.0% 2.5% 0.0% 1.8%
0.0% 2.6% 0.0% 0.6% 5.0%
0.0%
2.6% 9.0% 0.0% 8.4%
5.3% 7.5% 12.5%
90% 12.8% 0.6% 10.0%
10.0% 不明
80% 11.1% 27.3% 20.5% 37.5% 12.5% 1.6% 11.6%
21.1% 8.0% 18.8% 33.3% PC本体
70% 2.6%
インターネット
60% 22.2%
28.0% 23.6% 47.9% 電子メール
50% 23.8%
89.7%
USB等可搬記録媒体
40% 5.5% 83.7% 85.0%
4.0% 2.5% 76.8%
64.1% 紙媒体
30% 52.6%
44.4% 50.0%
20% 32.0% 31.3% 38.2%
31.6%
10% 25.0%

0% 0.0%

医療，福祉(n=155)
金融業，保険業(n=423)
建設業(n=19)

製造業(n=25)

運輸業，郵便業(n=9)
情報通信業(n=80)

卸売業，小売業(n=55)

不動産業，物品賃貸業(n=39)

教育，学習支援業(n=190)
電気・ガス・熱供給・水道業(n=29)

複合サービス事業(n=20)
宿泊業，飲食サービス業(n=8)

生活関連サービス業，娯楽業(n=8)
(n=3)

図 3-19：業種別の漏えい経路比率（件数）

漏えい媒体・経路の業種別比率（件数）について図 3-19 に示す。紙媒体は、業種、
業務内容に関わらず、どんな場合においても多用される、使用機会の多い媒体であ
るため、紙媒体から漏えいする比率が高い業種が多い。「金融業，保険業」「複合サ
「公務(他に分類されるものを除く)」
ービス業」「医療，福祉」
「電気・ガス・熱供給・
水道業」は、特に比率が高い。「教育，学習支援業」は、「USB 等可搬記録媒体」に
よる比率が高い。一方、
「サービス業（他に分類されないもの）「情報通信業」
」「製
造業」「卸売業，小売業」は、「インターネット」および「電子メール」といったネ
ットワークを介した漏えいインシデントの比率が高い。
業種によって、漏えいが発生しやすい媒体が異なっている。やはり、個人情報の移
送・保管などに使用されることが多い媒体からの発生が多いと思われる。

24

3.6 漏えい規模

(1) 単年
10万～100万人未不明
満 100万人以上 70件
10件 1件 4.2%
1万～10万人未満 0.6% 0.1%
29件
1.7%

1000～1万人未満
186件
11.1%

1～10人未満
644件
38.4%
100～1000人未満
332件
19.8%

10～100人未満
407件
24.2%

図 3-20：漏えい規模比率（件数）

インシデントの漏えい規模（人数）別のインシデント件数の比率を図 3-20 に示す。
インシデントの漏えい規模が小さいほど、インシデント件数が多いことがわかる。
漏えい人数 1000 人未満のインシデントを合計すると 82.4%になり、全体の 8 割以上
を占めている。
一般的には、インシデントの漏えい規模が小さいほど公表されないケースが増えて
くる。しかし最近は、漏えい人数が 1 件のインシデントでも積極的に公表する組織
が増えてきている。

25

644件
600件

548件
500件
479件 1～10人未満
422件 10～100人未満
400件 407件
100～1000人未満
314件 332件
308件 290件 314件 1000～1万人未満
300件
281件 300件
287件 269件 1万～10万人未満
226件 10万～100万人未満
200件
178件 186件
147件 100万人以上
140件 137件 136件
111件 122件 119件不明
100件 98件 97件
81件 70件
44件 51件
44件 50件 42件 43件
13件 38件 29件
15件 19件 19件 11件
0件 1件 4件 2件 0件 1件 10件
1件
2005年 2006年 2007年 2008年 2009年 2010年
(n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679)

図 3-21：一件あたりの漏えい人数区分の経年変化（件数）

インシデントの漏えい規模（人数）別のインシデント件数の推移を図 3-21 に示す。
2009 年に比べて、2010 年は、すべての漏えい規模の区分でインシデント件数が増
加している。2008 年以降、最も漏えい規模の小さい「1~10 人未満」の区分が、最
もインシデント件数が多い。これは、規模の小さいインシデントが実際に増加した
ということではなく、規模の小さいインシデントでも公表する組織が増えてきたた
めと考えられる。

26

2010incident survey pil_v1.2

Recomendados

Recomendados

Más contenido relacionado

Similar a 2010incident survey pil_v1.2

Similar a 2010incident survey pil_v1.2 (20)

2010incident survey pil_v1.2