Enviar búsqueda
Cargar
2010incident survey pil_v1.2
•
0 recomendaciones
•
317 vistas
O
ourcigar
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 60
Descargar ahora
Descargar para leer sin conexión
Recomendados
Mandura partner
Mandura partner
konstant01
El cocherito leré
El cocherito leré
sorrelO
กลุ่มยาแก้ไข้ ลดความร้อนสะเดา
กลุ่มยาแก้ไข้ ลดความร้อนสะเดา
ศิริลักษณ์ รบชนะ
งานนำเสนอ1
งานนำเสนอ1
แจ๋ว ทำมือ
ก่อกำเนิด
ก่อกำเนิด
ศิริลักษณ์ รบชนะ
Ropspowerpoint
Ropspowerpoint
matthewmyers
Serverguide ubuntu
Serverguide ubuntu
Amir Hamzah
California Baking School
California Baking School
CaliforniaBakingSchool
Recomendados
Mandura partner
Mandura partner
konstant01
El cocherito leré
El cocherito leré
sorrelO
กลุ่มยาแก้ไข้ ลดความร้อนสะเดา
กลุ่มยาแก้ไข้ ลดความร้อนสะเดา
ศิริลักษณ์ รบชนะ
งานนำเสนอ1
งานนำเสนอ1
แจ๋ว ทำมือ
ก่อกำเนิด
ก่อกำเนิด
ศิริลักษณ์ รบชนะ
Ropspowerpoint
Ropspowerpoint
matthewmyers
Serverguide ubuntu
Serverguide ubuntu
Amir Hamzah
California Baking School
California Baking School
CaliforniaBakingSchool
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
itforum-roundtable
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
20151020 オープンデータビジネス3種類のタイプとその特徴
20151020 オープンデータビジネス3種類のタイプとその特徴
NPO法人横浜コミュニティデザイン・ラボ
Newsletter20110202
Newsletter20110202
one corporation
Newsletter201102
Newsletter201102
one corporation
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
Ismail Arai
Closing Note
Closing Note
Nat Sakimura
Sangyo2009 04
Sangyo2009 04
Akao Koichi
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
Sangyo2008 03
Sangyo2008 03
Akao Koichi
10.2010 0527 keio_bs
10.2010 0527 keio_bs
Living in Peace
10.2010 0527 keio_bs
10.2010 0527 keio_bs
Living in Peace
情報セキュリティとの正しい付き合い方
情報セキュリティとの正しい付き合い方
山田(YAMADA) 達司(Tatsushi)
災害時における無線モニタリングによる社会インフラの見える化
災害時における無線モニタリングによる社会インフラの見える化
Naoto MATSUMOTO
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
Token salesについて
Token salesについて
Masakazu Masujima
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
Eiji Sasahara, Ph.D., MBA 笹原英司
「全国自治体の減災とネット活用データ」解説資料
「全国自治体の減災とネット活用データ」解説資料
減災インフォ
投資会社から見た人工知能(Ai)の事業化トレンド
投資会社から見た人工知能(Ai)の事業化トレンド
Osaka University
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
UEHARA, Tetsutaro
Más contenido relacionado
Similar a 2010incident survey pil_v1.2
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
itforum-roundtable
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
20151020 オープンデータビジネス3種類のタイプとその特徴
20151020 オープンデータビジネス3種類のタイプとその特徴
NPO法人横浜コミュニティデザイン・ラボ
Newsletter20110202
Newsletter20110202
one corporation
Newsletter201102
Newsletter201102
one corporation
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
Ismail Arai
Closing Note
Closing Note
Nat Sakimura
Sangyo2009 04
Sangyo2009 04
Akao Koichi
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
Sangyo2008 03
Sangyo2008 03
Akao Koichi
10.2010 0527 keio_bs
10.2010 0527 keio_bs
Living in Peace
10.2010 0527 keio_bs
10.2010 0527 keio_bs
Living in Peace
情報セキュリティとの正しい付き合い方
情報セキュリティとの正しい付き合い方
山田(YAMADA) 達司(Tatsushi)
災害時における無線モニタリングによる社会インフラの見える化
災害時における無線モニタリングによる社会インフラの見える化
Naoto MATSUMOTO
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
Token salesについて
Token salesについて
Masakazu Masujima
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
Eiji Sasahara, Ph.D., MBA 笹原英司
「全国自治体の減災とネット活用データ」解説資料
「全国自治体の減災とネット活用データ」解説資料
減災インフォ
投資会社から見た人工知能(Ai)の事業化トレンド
投資会社から見た人工知能(Ai)の事業化トレンド
Osaka University
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
UEHARA, Tetsutaro
Similar a 2010incident survey pil_v1.2
(20)
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
IoTセキュリティの課題
IoTセキュリティの課題
20151020 オープンデータビジネス3種類のタイプとその特徴
20151020 オープンデータビジネス3種類のタイプとその特徴
Newsletter20110202
Newsletter20110202
Newsletter201102
Newsletter201102
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
国立51高専1法人のスケールメリットII ~情報セキュリ ティ監査、e-learning・標的型攻撃による情報倫理教育、ソフト・回線の共同調達~
Closing Note
Closing Note
Sangyo2009 04
Sangyo2009 04
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
Sangyo2008 03
Sangyo2008 03
10.2010 0527 keio_bs
10.2010 0527 keio_bs
10.2010 0527 keio_bs
10.2010 0527 keio_bs
情報セキュリティとの正しい付き合い方
情報セキュリティとの正しい付き合い方
災害時における無線モニタリングによる社会インフラの見える化
災害時における無線モニタリングによる社会インフラの見える化
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
Token salesについて
Token salesについて
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
「全国自治体の減災とネット活用データ」解説資料
「全国自治体の減災とネット活用データ」解説資料
投資会社から見た人工知能(Ai)の事業化トレンド
投資会社から見た人工知能(Ai)の事業化トレンド
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
2010incident survey pil_v1.2
1.
2010年 情報セキュリティインシデントに関する
調査報告書 ~個人情報漏えい編~ 第 1.2 版 2011 年 7 月 1 日 2011 年 8 月 4 日 改訂 NPO 日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ © Copyright 2011 NPO Japan Network Security Association (JNSA)
2.
目次 1
はじめに .............................................................................................................................. 1 2 報告書について ................................................................................................................... 1 2.1 報告書の目的 .................................................................................................................. 1 2.2 報告書の構成 .................................................................................................................. 2 2.3 調査・分析方法 .............................................................................................................. 2 3 2010 年の個人情報漏えいインシデントの分析結果 ............................................................ 3 3.1 概要 ................................................................................................................................ 3 3.2 個人情報漏えいインシデント・トップ 10 ..................................................................... 4 3.3 業種 ................................................................................................................................ 5 3.4 原因 .............................................................................................................................. 12 3.5 漏えい媒体・経路 ........................................................................................................ 19 3.6 漏えい規模 ................................................................................................................... 25 3.7 漏えい情報の価値 ........................................................................................................ 29 3.8 経年分析 ....................................................................................................................... 33 4 2010 年 想定損害賠償額の算定結果 ................................................................................. 36 4.1 想定損害賠償総額 ........................................................................................................ 36 4.2 一人あたりの想定損害賠償額 ...................................................................................... 37 4.3 一件あたりの想定損害賠償額 ...................................................................................... 40 5 個人情報漏えいにおける想定損害賠償額の算出モデル .................................................... 42 5.1 想定損害賠償額の算出の目的 ...................................................................................... 42 5.2 想定損害賠償額算定式の解説 ...................................................................................... 42 5.2.1 想定損害賠償額算定式の策定プロセス ................................................................ 42 5.2.2 算定式の入力値の解説.......................................................................................... 43 5.2.3 想定損害賠償額算出式.......................................................................................... 49 6 最後に ............................................................................................................................... 50 6.1 推定公表率について ..................................................................................................... 50 6.2 2010 年インシデントの特徴 ........................................................................................ 53 6.3 まとめ........................................................................................................................... 54 7 お問い合わせ先 ................................................................................................................. 56 8 【付録 1】 漏えい原因の定義.........................................................................................付録 1-1 © Copyright 2011 NPO Japan Network Security Association (JNSA) i
3.
9 【付録 2】
インシデント一覧表 ...............................................................................付録 2-1 9.1 2010 年 個人情報漏えい事件・事故(表A) .................................................... 付録 2-1 9.2 2010 年 個人情報漏えいによる想定損害賠償額(表B) ................................ 付録 2-34 ii
4.
JNSA 調査研究部会 セキュリティ被害調査ワーキンググループ ワーキンググループリーダー
大谷 尚通 株式会社 NTT データ メンバー 井口 洋輔 NKSJ リスクマネジメント株式会社 猪俣 朗 トレンドマイクロ株式会社 大溝 裕則 株式会社 JMC 岡本 一郎 株式会社 インフォセック 佳山 こうせつ 富士通株式会社 北野 晴人 日本オラクル株式会社 佐藤 康彦 マイクロソフト株式会社 佐藤 耕太郎 日本オラクル株式会社 田中 洋 株式会社 インフォセック 馬鳥 雄也 日本オラクル株式会社 広口 正之 リコー・ヒューマン・クリエイツ株式会社 丸山 司郎 株式会社ラック 山田 英史 株式会社ディアイティ 吉田 裕美 株式会社ラック 著作権・引用について 本報告書は、NPO 日本ネットワークセキュリティ協会(JNSA) セキュリティ被害調 査ワーキンググループが作成したものである。著作権は当該 NPO に属するが、本報告 書は公開情報として提供される。ただし、全文、一部にかかわらず引用される場合は、 「(引用)JNSA 2010 年 情報セキュリティインシデントに関する調査報告書」と記述 して欲しい。なお、報告書の文書を改変して使用する、あるいは報告書内の集計データ を独自に再編して新たなグラフを作成するなど、報告書内の情報を加工して使用する場 合は「引用」ではなく「参考」と表記していただきたい。 また、書籍、雑誌、セミナー資料などに引用される場合は、JNSA のホームページ上 にある問い合わせフォームをご利用ください。 © Copyright 2011 NPO Japan Network Security Association (JNSA)
5.
1
はじめに JNSA セキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故 (以降「インシデント」という)の調査分析は今回で 9 回目となる。 JNSA セキュリティ被害調査ワーキンググループでは、2009 年と同様に、これまで の調査方法を踏襲し、2010 年に新聞やインターネットニュースなどで報道された個人 情報漏えいインシデント(以下、インシデントという)の情報を集計し、分析を行った。 この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏 JO えい経路などの情報の分類、 モデル(JNSA Damage Operation Model for Individual Information Leak)を用いた想定損害賠償額などを分析した結果を報告書にまとめた。 このような結果をもたらした原因分析も含め、以下に 2010 年のインシデントの集計・ 分析結果、及び過去 6 年間の蓄積されたデータを元にした経年変化の分析結果を報告す る。 2 報告書について 2.1 報告書の目的 本報告書は、2010 年一年間に報道されたインシデントを調査・分析し、独自の観点 から評価した結果である。 個人情報は個人情報保護法により保護を義務付けられた情報資産であり、個人情報漏 えいは企業の経営者や組織の責任者が認知すべきリスクのひとつである。 当ワーキンググループでは、インシデントにおける「損害賠償の可能性」について、 今後の議論の題材になることや、企業経営者が考えるべき情報セキュリティのリスク量 の把握や、適切な情報セキュリティに対する投資判断の一助となることを目的として、 検討、及び提案を行う。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 1
6.
2.2 報告書の構成
本報告書の本編は、さまざまな個人情報漏えいのインシデントを分析した「第 3 章 2010 年の個人情報漏えいインシデントの分析結果」「第 4 章 2010 年 想定損害賠償額 の算定結果」と、個人情報漏えいによる想定損害賠償を算出するモデルを解説した「第 5 章 個人情報漏えいにおける想定損害賠償額の算出モデル」から構成される。 「第 3 章 2010 年の個人情報漏えいインシデントの分析結果」では、2010 年の単年の 分析結果、9 年間の蓄積されたデータのうち、直近 6 年間のデータに基づく経年の分析 結果の解説を行った。2002 年から 2004 年までのインシデント情報は公表件数が少なく、 統計データとしては偏りが大きいため、2010 年の分析では、これらを除外した。 「第 4 章 2010 年 想定損害賠償額の算定結果」では、想定損害賠償額の算定結果と その考察結果を解説した。2002 年から 2010 年までの 9 年間の個人情報漏えいに関する 数値は、新聞やインターネット上で報道された公開情報に基づいて、統計したものであ る。一方、想定損害賠償額は、当ワーキンググループが独自に開発した算定手法に基づ いて算出した推定データであることに注意されたい。 また、2009 年の報告書と同様に「インシデント一覧表」を付録とした。 2.3 調査・分析方法 2010 年 1 月 1 日から 12 月 31 日の間に新聞やインターネットニュースなどで報道さ れたインシデントの記事、組織からリリースされたインシデントに関連した文書などを もとにインシデントの情報を集計した。まず、収集した情報を元に、これまでと同様に 漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの分類・評価を行っ た。次に、独自の算定式(JO モデル)を用いて、想定損害賠償額を算出した。 本調査データは、インターネット上に公開されたインシデントに関する情報を手作業 で収集し、記事や文書に書かれた内容から、インシデントの分析に必要な情報を取得し ている。よって、可能な限り多くの情報を収集するように努力しているが、公表された 全てのインシデントの記事を収集できていないことを了承されたい。また、この報告書 に対する読者の問い合わせに対応し、結果の一部が誤っていることが判明した場合には、 随時これを訂正している。報告書を利用する場合には、ホームページ上に公開されてい る最新の報告書を利用していただきたい。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 2
7.
3
2010 年の個人情報漏えいインシデントの分析結果 3.1 概要 漏えい件数は、2007 年以降継続して増加しており、1,679 件(前年比+140 件) と過去最高件数を更新した。これは、主に「公務」において漏えい件数が増加した ことが影響しており、従来から積極的に情報漏えい事件を公表している特定の地方 自治体に加え、2010 年から、もう 1 か所の特定の地方自治体が積極的に公表を始め たことが影響している。 漏えい人数は、約 558 万人(前年比-14 万人)と、2007 年以降継続して減少して いる。これは、漏えい件数が増加する一方で、一件あたりの漏えい人数が小さい 100 万人未満の事件が増加していることが影響している。 想定損害賠償総額も、漏えい人数と同様に減少し、過去最低の約 1,215 億円(前年 比-2,675 億円)となった。これは総漏えい人数の減少と、1 件当たりの損害賠償額 の減少の両面に起因する。 漏えい原因としては、引き続き「管理ミス」 (610 件)「誤操作」 、 (543 件)が大半 を占め 2010 年は、誤操作が増加(前年比+174 件)している。 また、2010 年は特定の情報通信業において不正アクセスにより、大規模(約174 万人)な事件が 1 件発生しているため、人数ベースの漏えい業種は「情報通信業」、 漏えい原因は「不正アクセス」が突出した結果となっている。 2010 年の集計結果の概要データは、以下の通りである。 表 3-1:2010 年 個人情報漏えいインシデント 概要データ 漏えい人数 557 万 9316 人 インシデント件数 1679 件 想定損害賠償総額 1215 億 7600 万円 一件あたりの漏えい人数※1 3468 人 ※1 一件あたり平均想定損害賠償額 7556 万円 一人あたり平均想定損害賠償額※2 4 万 3306 円 :平均値は、被害者数が不明のインシデント 70 件を除いて算出している。 ※1 ※2 :この平均値は一件あたりのばらつきを吸収するため、まず、各インシデントの一人 あたりの想定損害賠償額を算出し、そこから全てのインシデントの一人あたりの想定損 害賠償額の平均額を算出している。よって、想定損害賠償総額を漏えい人数で割った値 ではないことに注意されたい。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 3
8.
3.2 個人情報漏えいインシデント・トップ 10
表 3-2 に規模の大きいインシデント・トップ 10 を示す。2008 年は、漏えい人数 が 100 万人を超える大規模なインシデントは 1 件も発生せず、2009 年と 2010 年は 漏えい人数が 100 万人を超える大規模なインシデントが 1 件だけ発生した。 インシデント・トップ 10 の原因は、2008 年、2009 年と比較して「管理ミス」が 減少し、 「不正アクセス」 「内部犯罪・内部不正行為」 「不正な情報持ち出し」などの 故意を含んだ原因が目立っている。 業種は、「金融業,保険業」「公務」が減少し、「情報通信業」が増加した。 表 3-2:インシデント・トップ 10 No. 漏えい人数 業種 原因 1 173 万 5841 人 情報通信業 不正アクセス 2 46 万 3360 人 情報通信業 内部犯罪・内部不正行為 3 31 万人 医療,福祉 不正な情報持ち出し 4 25 万 4122 人 卸売業,小売業 不正アクセス 5 20 万 1414 人 学術研究,専門・技術サービス業 管理ミス 6 19 万 7907 人 情報通信業 盗難 7 19 万 7077 人 製造業 設定ミス 8 19 万 5132 人 サービス業(他に分類されないもの) 不明 9 17 万 755 人 サービス業(他に分類されないもの) 不正アクセス 10 17 万 325 人 金融業,保険業 管理ミス © Copyright 2011 NPO Japan Network Security Association (JNSA) 4
9.
3.3 業種 (1)
単年分析(件数) 宿泊業,飲食サービ 電気・ガス・熱供給・ 運輸業,郵便業 ス業 水道業 9件 8件 建設業 0.5% 複合サービス事業 29件 0.5% 1.7% 19件 学術研究,専門・技 23件 1.1% 術サービス業 1.4% 製造業 4件 不動産業,物品賃 24件 0.2% 1.4% 生活関連サービス 貸業 39件 業,娯楽業 2.3% 情報通信業 9件 80件 0.5% 4.8% 卸売業,小売業 55件 3.3% 公務(他に分類され サービス業(他に分 るものを除く) 類されないもの) 555件 58件 33.1% 3.5% 医療,福祉 156件 9.3% 金融業,保険業 420件 教育,学習支援業 25.0% 191件 11.4% 図 3-1:業種別比率(件数) 業種別のインシデント件数を図 3-1 に示す。インシデント件数の多い業種は、上 位から順に「公務」(33.1%)、 「金融業,保険業」(25.0 %)、 「教育,学習支援業」(11.4 %)、 「医療,福祉」(9.3%)であり、全体の約 80%を占めている。 「公務」及び「金融業,保険業」については、2004 年以降、常に上位を占める結 果となっている。これは、個人情報を取り扱うことの多いことに加え、個人情報保 護に関する行政の指導が強く働いている業種であり、小規模なインシデントであっ ても公表することが多いためと考えられる。また「教育,学習支援業」 「医療,福祉」 も 2007 年以降、上位をあげてきており、インシデントを積極的に公表する傾向が浸 透してきていると考えられる。 インシデントが発生していないのは、第一次産業にあたる「農業、林業」「漁業」 「鉱業,採石業,砂利採取業」の 3 業種だけである。その他のすべての業種で個人 情報を利用しており、インシデント発生のリスクがあるという状況に変化は見られ ない。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 5
10.
(2)
経年分析(件数) 公務(他に分類されるものを除く) 1,600件 サービス業(他に分類されないもの) 複合サービス事業 1,400件 555件 医療,福祉 398件 教育,学習支援業 1,200件 469件 生活関連サービス業,娯楽業 65件 58件 40件 23件 1,000件 64件 宿泊業,飲食サービス業 139件 156件 81件 学術研究,専門・技術サービス業 203件 4件 9件 69件 88件 2件 39件 800件 33件 21件 191件 不動産業,物品賃貸業 54件 181件 91件 98件 84件 9件 8件 4件 金融業,保険業 3件 15件 52件 47件 39件 600件 42件 32件 178件 108件 73件 4件 卸売業,小売業 6件 33件 626件 293件 36件 88件 11件 420件 運輸業,郵便業 400件 49件 159件 136件 131件 情報通信業 114件 70件 73件 17件 6件 65件 56件 電気・ガス・熱供給・水道業 200件 108件 10件 52件 55件 84件 95件 8件 9件 98件 81件 80件 66件 61件 39件 製造業 52件 32件 37件 29件 29件 49件 37件 28件 23件 24件 0件 11件 1件 9件 6件 6件 4件 2件 18件 19件 建設業 2005年 2006年 2007年 2008年 2009年 2010年 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 農業,林業 図 3-2:業種別件数の経年変化(件数) 業種別のインシデント件数を積み上げた棒グラフを図 3-2 に示す。2009 年に大き く増加した「金融業,保険業」は 2010 年には減少したが、依然として大きな件数を 維持している。年毎の件数の変動が大きい理由は、そのタイミングでなにかしらの 内外の要因が働いているためと思われる。 また 2008 年まで増加傾向にあり、2009 年に減少に転じたかに見えた「公務」及 び「教育,学習支援業」の件数は、2010 年に再び大きな増加を見せた。 「公務」及び「教育,学習支援業」の増加傾向の要因としては、インシデントを公 表するようになってきたこと、業務で PC や USB メモリなどの使用が増加している こと、自治体などで臨時職員や派遣職員が増加しており、情報漏えいを防止するた めの教育が浸透していないことなどが挙げられるが、こうした傾向は引き続き進行 していると考えられる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 6
11.
100%
13.5% 90% 20.4% 20.9% 公務(他に分類されるものを除く) 25.9% 6.7% 34.2% 33.1% サービス業(他に分類されないもの) 80% 複合サービス事業 3.2% 5.4% 5.2% 9.9% 医療,福祉 3.7% 4.2% 70% 8.1% 2.6% 教育,学習支援業 5.2% 8.4% 4.2% 3.5% 0.3% 0.0% 4.2% 6.4% 1.4% 生活関連サービス業,娯楽業 1.5% 5.3% 60% 0.3% 1.5% 9.3% 宿泊業,飲食サービス業 10.9% 10.2% 6.6% 2.5% 0.6% 0.1% 0.0% 1.3% 学術研究,専門・技術サービス業 50% 0.0% 0.6% 0.0% 0.0% 28.4% 3.6% 5.7% 11.4% 不動産業,物品賃貸業 13.0% 40% 0.5% 0.2% 金融業,保険業 13.7% 0.0% 0.3% 2.3% 15.2% 2.4% 卸売業,小売業 40.7% 30% 11.6% 運輸業,郵便業 11.0% 7.0% 0.6% 7.5% 25.0% 情報通信業 20% 1.6% 1.2% 5.3% 10.9% 電気・ガス・熱供給・水道業 8.1% 4.1% 11.3% 製造業 6.9% 3.4% 3.3% 10% 6.4% 6.1% 0.5% 0.5% 3.7% 5.3% 建設業 2.8% 4.8% 4.7% 5.2% 4.3% 2.7% 1.9% 1.7% 農業,林業 1.1% 0.9% 0.7% 2.0% 1.5% 1.4% 1.1% 0% 0.1% 0.6% 0.5% 0.1% 1.2% 2005年 2006年 2007年 2008年 2009年 2010年 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 図 3-3:業種別比率の経年変化(件数) 業種別インシデント件数の比率の推移を図 3-3 に示す。2009 年に「公務」に代わ り「金融業,保険業」が一番となったが、2010 年には再び「公務」が一番多くなっ た。これは「公務」の件数が増加した一方、 「金融業,保険業」の件数が減少したこ とによる。 2009 年には減少した「教育,学習支援業」の割合が再び増加したほか、2008 年か ら減少傾向にあった「医療,福祉」が再び増加している。全体の件数が増加してい る中、いずれも割合が伸びているのは、大幅な件数の増加が反映されたことによる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 7
12.
(3)
単年分析(人数) 電気・ガス・熱供給・水 公務(他に分類される 生活関連サービス業, 道業 ものを除く) 娯楽業 8,705人 57,921人 25,387人 運輸業,郵便業 0.2% 1.0% 0.5% 23,896人 0.4% 宿泊業,飲食サービス 複合サービス事業 業 140,398人 8,692人 2.5% 建設業 0.2% 2,334人 教育,学習支援業 0.0% 134,805人 2.4% 不動産業,物品賃貸 学術研究,専門・技術 業 サービス業 1,553人 201,980人 3.6% 製造業 0.0% 232,130人 4.2% 医療,福祉 337,549人 6.1% 情報通信業 卸売業,小売業 2,548,757人 341,647人 45.7% 6.1% サービス業(他に分類 されないもの) 金融業,保険業 520,450人 993,112人 9.3% 17.8% 図 3-4:業種別比率(人数) 業種別での個人情報の漏えい人数を図 3-4 に示す。上位から順に「情報通信業」 (45.7%)、 「金融業,保険業」(17.8%)、 「サービス業」(9.3%)であり、大量の個人情報 を電子的に処理することの多い業種に集中した。 とくに「情報通信業」では漏えい人数 10 万人以上のインシデントが 4 件発生して おり、この 4 件だけで合計人数は 2,497,108 人にのぼる。これは「情報通信業」の 98.0%、全業種合計の 44.8%を占める人数である。 「金融業,保険業」は 2009 年には突出した大規模なインシデントが多数発生した が、2010 年は大規模なインシデントが少なく、漏えい人数としては 2009 年の半分 以下に減少した。 「教育,学習支援業」は、図 3-1 に示すように件数では全体の 11.4%を占めるが、 図 3-4 に示すように人数では 2.4%と少ない。これは、「教育,学習支援業」におい て扱う個人情報にクラス単位などが多く、他の業種のインシデントと比較して規模 が小さいためであると考えられる。 「公務」については、人数の比率はさらに少なく 1.0%でしかない。これは、 「公務」 の件数のほとんどを小規模インシデントが占めるためである。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 8
13.
50,495人
50,000人 40,000人 36,411人 30,000人 20,000人 10,009人 9,672人 10,000人 6,972人 6,104人 2,821人2,987人2,376人2,192人 1,087人 779人 300人 123人 109人 43人 0人 医療,福祉(n=156) 金融業,保険業(n=420) 製造業(n=24) 運輸業,郵便業(n=9) 建設業(n=19) 情報通信業(n=80) 卸売業,小売業(n=55) 教育,学習支援業(n=191) 電気・ガス・熱供給・水道業(n=29) 不動産業,物品賃貸業(n=39) 複合サービス事業(n=23) 宿泊業,飲食サービス業(n=8) 学術研究,専門・技術サービス業(n=4) 生活関連サービス業,娯楽業(n=9) サービス業(他に分類されないもの)(n=58) 公務(他に分類されるものを除く)(n=555) 図 3-5:業種別の一件あたりの漏えい人数 インシデント一件あたりの漏えい人数(平均人数)を図 3-5 に示す。「学術研究, (約 5 万人)が突出しているが、これは 4 件のインシデント 専門・技術サービス業」 のうち 1 件が 20 万人以上の大規模インシデントであったためである(残りの 3 件は 数十~数百件程度の小規模インシデントである)。 これにつづく上位の業種は「情報通信業」 3.6 万人) (約 「サービス業」 1 万人) 、 (約 、 「製造業」(約 9,700 人)となっている。 インシデントの件数では 1 位だった「公務」の漏えい人数平均がわずかに 109 人 であるが、これは前述のとおり小規模インシデントを多く含むためである。「公務」 のインシデント 555 件のうち、395 件(71.2%)は 10 人未満の小規模インシデントで ある。こうしたインシデントの多くは、紙媒体の誤交付・誤送付などの誤操作、管 理ミス、紛失・置き忘れによるものであった。 業種別での漏えい規模の比較は、「3.6 漏えい規模」の図 3-23 を参照されたい。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 9
14.
(4)
経年分析(人数) 公務(他に分類されるものを除く) 3,000万人 サービス業(他に分類されないもの) 複合サービス事業 2,500万人 医療,福祉 1,498.6万人 教育,学習支援業 193.6万人 2,000万人 生活関連サービス業,娯楽業 宿泊業,飲食サービス業 586.1万人 学術研究,専門・技術サービス業 1,500万人 54.8万人 67.7万人 不動産業,物品賃貸業 195.8万人 346.0万人 金融業,保険業 61.2万人 77.3万人 卸売業,小売業 1,000万人 54.0万人 60.3万人 88.1万人 473.0万人 運輸業,郵便業 293.1万人 情報通信業 61.7万人 500万人 547.9万人 899.1万人 電気・ガス・熱供給・水道業 101.8万人 545.7万人 162.8万人 332.3万人 製造業 98.7万人 254.9万人 116.3万人 0万人 建設業 2005年 2006年 2007年 2008年 2009年 2010年 農業,林業 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 図 3-6:業種別漏えい人数の経年変化(合計) 業種別の個人情報漏えい人数を積み上げたグラフを図 3-6 に示す。2006 年、2007 年の漏えい人数が多くなっているが、いずれの年も 100 万人以上の大規模なインシ デントが発生した年である。そのため、大規模なインシデントが発生した業種の人 数が特異的に増えてしまい、2006 年は情報通信業が、2007 年では複合サービス業 が突出したグラフになっている。同様に 2010 年は「情報通信業」が数としては他業 種より突出している。つまり、業種別の個人情報漏えい人数に関しては、業種によ る特徴よりも、大規模な情報漏えいインシデントが発生した業種が目立つ傾向にな っている。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 10
15.
(5)
相関分析 2,548,757人 600件 2,500,000人 555件 500件 2,000,000人 420件 400件 1,500,000人 人数 300件 件数 993,112人 1,000,000人 191件 200件 520,450人 156件 341,647人 500,000人 337,549人 232,130人 140,398人 100件 80件 58件 201,980人 57,921人 8,705人 1,553人 55件 134,805人 25,387人 8,692人 24件 23,896人 29件 2,334人 39件 23件 9件 9件 19件 0人 4件 8件 0件 製造業 建設業 医療,福祉 情報通信業 金融業,保険業 卸売業,小売業 運輸業,郵便業 電気・ガス・熱供給・水道業 教育,学習支援業 宿泊業,飲食サービス業 不動産業,物品賃貸業 複合サービス事業 学術研究,専門・技術サービス業 生活関連サービス業,娯楽業 サービス業(他に分類されないもの) 公務(他に分類されるものを除く) 図 3-7:業種別のインシデント件数と漏えい人数 業種別のインシデント件数と漏えい人数の関係を図 3-7 に示す。2010 年に 10 万 人以上の大規模インシデントが 4 件発生した「情報通信業」は、インシデント件数 に比して漏えい人数が突出して多い。逆に、インシデント件数の多かった「公務」 「金 融業,保険業」「教育,学習支援業」 「医療,福祉」は、小規模インシデントでも公 表されることが多いため、インシデント件数に対して漏えい人数は少ない。 2009 年までの傾向として、一部の業種を除いて、インシデント件数と漏えい人数 はほぼ正相関の関係にあった。これは多くの業種で共通して、ある程度以上の規模 のインシデントしか公表しない風潮があったためと思われる。 しかし、2010 年にはこの相関関係が崩れつつあるように見える。複数の業種にお いて小規模インシデントでも公表することが多くなり、業種間での差が開きつつあ るのではないかと推測される。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 11
16.
3.4 原因 (1)
単年分析(件数) 不正アクセス 内部犯罪・内部不正 17件 行為 1.0% 目的外使用 9件 10件 0.5% ワーム・ウイルス 設定ミス 0.6% 6件 その他 17件 0.4% 19件 1.0% 1.1% バグ・セキュリティホー ル 不明 25件 12件 1.5% 0.7% 不正な情報持ち出し 73件 4.3% 盗難 128件 7.6% 管理ミス 紛失・置忘れ 609件 211件 36.3% 12.6% 誤操作 543件 32.3% 図 3-8:漏えい原因比率(件数) 個人情報漏えい件数の原因比率を図 3-8 に示す。 2010 年は「管理ミス」「誤操作」「紛失・置き忘れ」で約 80%を占めた。 、 、 「管理ミス」に区分されるインシデントは、組織としてルールが整備されていない、 もしくはルールは存在しているものの遵守されていないために社内や主要な流通経 路で発生するインシデントである。 組織としてルールが整備されていないことによるインシデントは、発見が遅れイン シデントに至る経緯を明確できない場合も多い。一方、ルールが徹底されていない ことによって発生するインシデントは、比較的早く発見され、経緯も明確にしやす い場合が多い。発見の遅れや不明確なままの経緯はインシデントの被害を大きくす る。まずは個人情報を守るためのルール作りが望まれる。 「誤操作」及び「紛失・置き忘れ」はヒューマンエラーである。そのため対策とし ては、人的な対策として担当者へのセキュリティ教育(オペレーションの教育も含む)、 及び組織的な対策としてヒューマンエラーを減らす予防対策として手順づくりが重 要となる。ヒューマンエラーは必ず起こることを前提として暗号化などの漏えい対 策や、紛失しても被害が拡大しない対策もあわせて行うとも検討する。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 12
17.
(2)
経年分析(件数) 100% 1.5% 1.2% 1.0% 0.7% 2.1% 1.7% 0.9% 1.4% 1.0% 1.1% 0.5% 1.4% 0.6% 1.9% 2.1% 5.8% 3.4% 4.3% 不明 7.9% 90% 3.3% 8.2% 5.1% その他 1.2% 8.3% 内部犯罪・内部不正行為 80% 20.4% 22.2% 12.4% 1.7% 36.3% 目的外使用 70% 14.7% 3.9% 4.4% 50.9% 不正な情報持ち出し 60% 管理ミス 18.2% 1.0% 設定ミス 50% 42.1% 29.2% 35.2% 誤操作 0.9% 40% 32.3% 20.5% 紛失・置忘れ 30% 24.0% 盗難 19.0% 14.1% 不正アクセス 20% 16.6% 25.8% 12.6% ワーム・ウイルス 0.9% 7.9% 10% 0.8% 11.2% バグ・セキュリティホール 12.2% 8.3% 7.6% 7.6% 1.4% 2.2% 1.1% 1.0% 0.4% 0% 0.2% 1.2% 1.6% 1.3% 1.5% 0.9% 2005年 2006年 2007年 2008年 2009年 2010年 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 図 3-9:漏えい原因比率の経年変化(件数) 個人情報漏えい件数の原因比率の経年変化を図 3-9 に示す。 比率において 2009 年で 50.9%を占めていた「管理ミス」が 2010 年では 36.3%と なり、件数では 784 件から 609 件となった。 「誤操作」 24.0%から 32.3%、 一方で、 が 件数では 369 件から 543 件、「紛失・置き忘れ」が 7.9%から 12.6%、件数では 122 件から 211 件に増加している。 管理ミス及び誤操作、 ・ 紛失 置き忘れはヒューマンエラーである。これらの増加は、 個人情報の取り扱いに関する担当者の意識低下と結びつけることもできる。今後注 視する点である。 管理ミスの比率、件数に関しては、2010 年は 2009 年よりも減少しているが、2005 年からの変化でみると、全体的には増加傾向にあるといえる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 13
18.
(3)
単年分析(人数) ワーム・ウイルス 目的外使用 バグ・セキュリティ 2,397人 15,061人 ホール 誤操作 0.3% 0.0% 45,954人 41,234人 設定ミス その他 0.8% 0.7% 203,330人 5,559人 3.6% 0.1% 紛失・置忘れ 不明 207,643人 203,419人 3.7% 3.6% 不正な情報持ち出 し 350,589人 6.3% 不正アクセス 内部犯罪・内部不 2,215,873人 正行為 39.7% 470,743人 盗難 8.4% 571,742人 10.2% 管理ミス 1,245,772人 22.3% 図 3-10:漏えい原因比率(人数) 個人情報漏えい人数の原因比率を図 3-10 に示す。 漏えい人数の原因比率を示す上記図 3-10 と前述した漏えい件数の原因比率であ る図 8 を比べると、傾向に違いが見られる。図 3-8 のように件数で集計すると、 「管 理ミス」「誤操作」 、 「紛失・置き忘れ」など当事者には悪意がない原因が並ぶが、図 3-10 のように人数で集計すると、 「不正アクセス」 「盗難」 「内部犯罪・内部不正行為」 など当事者に悪意が認められる原因が上位に入る。 漏えい人数が最も多かった「不正アクセス」は例年、1 件あたりの被害が大きくな る傾向があり、それは 2010 年も同様であった。そのため発生件数が少ない中で漏え い人数が最大となった。 「内部犯罪・内部不正行為」は、際だって大きな漏えいイン シデントが 1 件(約 46 万人)あり、それが漏えい人数を伸ばしている。 「管理ミス」に関しては、悪意がない原因にもかかわらず、件数とともに被害人数 も多い。ここでも「管理ミス」への対策は重要であることが読み取れる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 14
19.
138,492人 140,000人 120,000人 100,000人
78,457人 80,000人 60,000人 40,000人 13,555人 16,952人 20,000人 5,156人 4,765人 3,765人 2,089人 2,087人 1,043人 266人 78人 556人 0人 管理ミス(n=609) 誤操作(n=543) 不明(n=12) その他(n=19) 不正アクセス(n=17) 設定ミス(n=17) 盗難(n=128) 紛失・置忘れ(n=211) 目的外使用(n=10) ワーム・ウイルス(n=6) バグ・セキュリティホール 不正な情報持ち出し 内部犯罪・内部不正行為 (n=73) (n=25) (n=9) 図 3-11:漏えい原因別の一件あたりの漏えい人数 漏えい原因別の一件あたりの漏えい人数を図 3-11 に示す。 図 3-11 からは、 「不正アクセス」 「内部犯罪・内部不正行為」の一件あたりの漏え い人数が目立つ。ただし「内部犯罪・内部不正行為」は前述したとおり突出した 1 件のインシデントによって平均人数をあげたものである。 「不正アクセス」に関しては毎年、一件のインシデントで大量の個人情報が漏えい する傾向にあるが、その傾向は 2010 年も同様である。2010 年の被害人数が多いイ ンシデントの上位 10 位のうち 3 件が不正アクセスを原因としている。 「不正アクセ ス」は悪意のある者が個人情報の集まりであるファイルやデータベースを対象にし て行うため、発覚すると常にまとまった数の個人情報件数が漏えいすると推測され る。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 15
20.
管理ミス(n=609)
誤操作(n=543) 不正アクセス(n=17) 10万~100 1000~1万 10万~100 1万~10万 1~10人未 1万~10万人未 万人未満 不明 100万人以 人未満 万人未満 人未満 不明 満 満 2件 12件 上 10~100人 6件 1件 1件 1件 12件 0% 2% 0件 1件 未満 100~1000 1% 0% 6% 6% 2% 0% 不明 6% 2件 人未満 1~10人未満 12件 12% 34件 105件 2% 10万~100 6% 1000~1 17% 10~100人 万人未満 万人未満 未満 2件 100~1000 130件 68件 12% 人未満 22% 13% 2件 10~100人未満 1万~10万 100~1000人未 12% 165件 1~10人未 人未満 満 27% 満 1000~1万 3件 183件 422件 人未満 17% 30% 78% 5件 29% 図 3-12:漏えい原因の人数区分(件数) 特徴的な漏えい人数区分を示す 3 つの原因を図 3-12 に示す。 件数では第 1 位、漏えい人数では第 2 位の「管理ミス」は 100 人未満と 1000 人未 満の情報漏えいインシデントが多いと言えるが、漏えい人数の幅が広く少ない被害 で収まらないことがわかる。 件数で第 2 位であった「誤操作」は、10 人未満の情報漏えいインシデントが 4 分 の 3 以上を占めており、少ない人数の漏えいインシデントが目立つ。 漏えい人数で第 1 位であった「不正アクセス」は、1000 人以上~1 万人未満の規 模のインシデントが最も多いが、10 万人以上の規模のインシデントを合計すると 6 件発生している。全体で 16 件しか報告されていない「不正アクセス」において、6 件の比率は大きく、ここでも「不正アクセス」が大規模なインシデントに結びつき やすい傾向がわかる。 これらの傾向から「管理ミス」に対する個人情報の管理対策を実施していくと同時 に、被害が大きくなる「不正アクセス」への対策についても、優先順位を上げて検 討しておく必要があると考えられる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 16
21.
(4)
業種別(件数) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 公務(他に分類されるものを除く)(n=557) 14.0% 58.9% 15.4% 4.5% 3.1% 1.3%0.5% 0.2% 0.4%0.2% 0.4% 金融業,保険業(n=423) 92.2% 2.1%0.0% 2.6% 0.9% 0.5% 0.2% 教育,学習支援業(n=190) 29.5% 6.8% 13.7% 14.2% 27.4% 0.0% 0.5% 2.6% 2.1% 医療,福祉(n=155) 15.5% 58.7% 7.7% 10.3% 5.8% 情報通信業(n=80) 12.5% 25.0% 31.3% 5.0% 10.0% 1.3% 1.3% 2.5% サービス業(他に分類されないもの)(n=59) 10.2% 42.4% 10.2% 16.9% 5.1% 6.8%0.0% 0.0% 1.7% 1.7% 卸売業,小売業(n=55) 25.5% 25.5% 7.3% 12.7% 10.9%0.0%10.9%0.0% 1.8% 不動産業,物品賃貸業(n=39) 15.4% 48.7% 12.8% 23.1% 電気・ガス・熱供給・水道業(n=29) 13.8% 24.1% 41.4% 20.7% 0.0% 製造業(n=25) 8.0% 24.0% 24.0% 28.0% 複合サービス事業(n=20) 50.0% 15.0% 20.0% 15.0% 建設業(n=19) 15.8% 21.1% 36.8% 21.1% 運輸業,郵便業(n=9) 22.2% 11.1% 44.4% 生活関連サービス業,娯楽業(n=8) 12.5% 12.5% 50.0% 宿泊業,飲食サービス業(n=8) 25.0% 管理ミス(n=610) 誤操作(n=543) 紛失・置忘れ(n=210) 盗難(n=128) 不正な情報持ち出し(n=72) バグ・セキュリティホール(n=25) その他(n=20) 設定ミス(n=17) 不正アクセス(n=16) 不明(n=12) 目的外使用(n=10) 内部犯罪・内部不正行為(n=9) ワーム・ウイルス(n=7) 図 3-13:業種別の漏えい原因比率(件数) 業種別の漏えい原因比率を図 3-13 に示す。 「誤操作」の占める比率が高く、公表された件数は 328 件となってい 「公務」は、 る。2010 年の「誤操作」の全件数は 543 件であるため「誤操作」の 60%を占めてい ることになる。内訳としては、郵送やメールの誤送付が多く、日常業務の中で情報 送付という作業が多いことに起因していると推測される。 「医療、福祉」においても 「誤操作」の比率が高いが、 「公務」と同じく郵送やメールの誤送付が多い。同様の 背景があると思われる。 「管理ミス」の占める比率が高く 90%を占める。インシデ 「金融業,保険業」は、 ントの傾向としては個人情報の保管状況を再確認した結果、紛失、誤廃棄が判明し たというケースが多い。複数の支店、支社の状況の確認を組織的に実施しているケ ースも多く、 「金融業,保険業」の管理意識の高さが察せられる。 「教育・学習支援業」 「不正な情報持ち出し」 は、 の比率が他の業種に比べて高い。 件数は 57 件で、他の業種に比べて突出しており、「不正な情報持ち出し」がもっと も多い業種となっている。 「不正な情報持ち出し」は当事者の意識の問題によるとこ © Copyright 2011 NPO Japan Network Security Association (JNSA) 17
22.
ろが大きいが、まとまった件数が発生する場合は、業務特性と個人情報の持ち出し ルールがかい離し、形骸化している可能性もある。ルールの形骸化は実質的には管 理されていない状態であるためインシデントの発生を抑えることができない。現状 の分析から、的を射た対策が求められる。
© Copyright 2011 NPO Japan Network Security Association (JNSA) 18
23.
3.5 漏えい媒体・経路 (1)
単年分析(件数) インターネット 不明 82件 PC本体 14件 4.9% 55件 2.4% 0.8% 電子メール 3.3% 115件 6.8% USB等可搬記 録媒体 208件 12.4% 紙媒体 1,165件 69.4% 図 3-14:漏えい媒体・経路(件数) 漏えい媒体・経路別のインシデント件数を図 3-14 に示す。漏えい媒体・経路では、 「紙媒体」がインシデント件数の 69.4%を占める。紙媒体は、業種や業務内容に関 わらず、どんな場合においても多用される、使用機会の多い媒体であるため、それ だけ漏えいすることが多い。また紙媒体によって漏えいした原因は、保管中の情報 を誤廃棄するなどの「管理ミス」や、誤送付、誤交付といった「誤操作」によるも のが多い。次に「USB 等可搬記録媒体」が 12.4%、 「電子メール」が 6.8%を占める。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 19
24.
(2)
経年分析(件数) 100% 1.6% 0.8% 0.7% 0.8% 0.8% 3.1% 5.1% 1.9% 2.4% 0.0% 6.8% 6.4% 0.1% 7.0% 6.8% 6.6% 5.9% 90% 8.1% 7.7% 4.5% 4.9% 6.4% 9.8% 80% 9.4% 11.7% 12.4% 15.7% 22.0% 3.8% 70% 15.4% 3.3% 9.9% 不明 60% 7.3% 16.8% 8.2% 12.5% その他 50% 電子メール 10.7% 10.9% インターネット 40% USB等可搬記録媒体 72.6% 69.4% PC本体 30% 55.9% 紙媒体 49.9% 43.8% 20% 40.4% 10% 0% 2005年 2006年 2007年 2008年 2009年 2010年 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 図 3-15:漏えい経路比率の経年変化(件数) 漏えい経路比率の経年変化について図 3-15 に示す。 「紙媒体」による漏えい件数は、2009 年に引き続き 2010 年も大幅に増加した。 ただし、「USB 等可搬記録媒体」の件数は増加している。「PC 本体」「インターネ 、 ット」は 2008 年以前と比較すると減少している。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 20
25.
(3)
単年分析(人数) その他 42,572人電子メール 紙媒体 0.8% 24,982人 409,997人 7.3% 0.4% 不明 560,202人 10.0% PC本体 インターネット 802,182人 2,692,603人 14.4% 48.3% USB等可搬記 録媒体 1,046,778人 18.8% 図 3-16:漏えい媒体・経路(人数) 漏えい媒体・経路別の漏えい人数を図 3-16 に示す。個人情報が漏えいした人数は、 「インターネット」が約 48.3%を占める。図 3-16 に示すように「インターネット」 はインシデントの件数は少ないが、1 件あたりの漏えい人数が多く、かつ、その中に は、大規模なインシデントが数件含まれているため、このような結果となった。 「表 3-2:インシデント・トップ 10」のうちの 5 件が昨年の「USB 等可搬記録媒体」に 代わり「インターネット」よるものであり、この 5 件のインシデントだけで合計約 255 万人、漏えい人数の実に約 45%を占める。 一方、2009 年に最も人数の多かった「USB 等可搬記録媒体」 18.8%であった。 は、 このように、大規模インシデントが人数の比率に大きく影響する。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 21
26.
50,000人
46,683.5人 45,000人 37,924.0人 40,000人 35,000人 30,000人 25,000人 20,000人 16,371.1人 15,000人 10,000人 5,286.8人 5,000人 361.5人 231.3人 0人 紙媒体(n=1165) PC本体(n=55) 不明(n=14) 電子メール(n=115) USB等可搬記録媒体(n=208) インターネット(n=82) 図 3-17:漏えい媒体・経路別の一件あたりの漏えい人数 漏えい媒体・経路別のインシデント一件あたりの漏えい人数を図 3-17 に示す。漏 えい媒体・経路別の一件あたりの平均漏えい人数は、「インターネット」「PC 本体」 「USB 等可搬記録媒体」が多い。 「インターネット」の平均漏えい人数が多い理由は 前述した数件の大規模インシデントが影響している面もあるが、これらの媒体・経 路は、いずれも個人情報が扱い易い電子データ(ファイル)に保存されていること、 個人情報が一度に大量に保存・管理されていることが関係している。 なお、漏えい媒体・経路が「不明」の平均漏えい人数が突出して大きい理由は、14 件のうちの 1 件が約 46 万人の大規模インシデントであったことによるものである。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 22
27.
100%
2.7% 0.3% 4.8% 5.2% 7.5% 10.9% 0.0% 1.0% 0.0% 9.2% 14.6% 5.2% 14.3% 90% 6.3% 5.0% 5.5% 5.5% 4.9% 10.0% 7.1% 80% 15.8% 21.6% 7.3% 27.8% 不明 70% 14.3% 100万人以上 20.0% 17.5% 14.6% 10万~100万人未満 60% 22.0% 7.1% 1万~10万人未満 50% 14.3% 1000~1万人未満 37.0% 18.3% 27.3% 32.5% 100~1000人未満 40% 44.3% 14.3% 10~100人未満 30% 1~10人未満 24.4% 50.1% 20% 27.3% 24.0% 27.5% 28.6% 10% 17.4% 14.6% 3.6% 5.3% 0% PC本体(n=55) 不明(n=14) その他(n=40) 紙媒体(n=1165) 電子メール(n=115) USB等可搬記録媒体(n=208) インターネット(n=82) 図 3-18:漏えい規模比率(件数) 漏えい媒体・経路別のインシデントの漏えい規模(件数)の比率を図 3-18 に示す。 「紙媒体」を媒体・経路とするインシデントは、漏えい規模が 1000 人未満のイン シデントが約 90%を占め、とくに 1~10 人未満の小規模なインシデントの比率が約 50%と最も高い。「電子メール」も漏えい規模が 1000 人未満のインシデントの比率 が約 90%を占めるが、その内訳は異なり、10~100 人未満のインシデントの比率が 約 44%と高い。 一方で「インターネット」によるインシデントは、漏えい規模が 1000 人未満のイ ンシデントの比率が低く、10 万人以上の比較的規模の大きいインシデントの比率が 高い。100 万人以上の大規模なインシデントも発生している。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 23
28.
(4)
業種別(件数) 100% 0.0% 0.0% 2.5% 0.0% 1.8% 0.0% 2.6% 0.0% 0.6% 5.0% 0.0% 2.6% 9.0% 0.0% 8.4% 5.3% 7.5% 12.5% 90% 12.8% 0.6% 10.0% 10.0% 不明 80% 11.1% 27.3% 20.5% 37.5% 12.5% 1.6% 11.6% 21.1% 8.0% 18.8% 33.3% PC本体 70% 2.6% インターネット 60% 22.2% 28.0% 23.6% 47.9% 電子メール 50% 23.8% 89.7% USB等可搬記録媒体 40% 5.5% 83.7% 85.0% 4.0% 2.5% 76.8% 64.1% 紙媒体 30% 52.6% 44.4% 50.0% 20% 32.0% 31.3% 38.2% 31.6% 10% 25.0% 0% 0.0% 医療,福祉(n=155) 金融業,保険業(n=423) 建設業(n=19) 製造業(n=25) 運輸業,郵便業(n=9) 情報通信業(n=80) 卸売業,小売業(n=55) 不動産業,物品賃貸業(n=39) 教育,学習支援業(n=190) 電気・ガス・熱供給・水道業(n=29) 複合サービス事業(n=20) 宿泊業,飲食サービス業(n=8) 生活関連サービス業,娯楽業(n=8) 学術研究,専門・技術サービス業 (n=3) 図 3-19:業種別の漏えい経路比率(件数) 漏えい媒体・経路の業種別比率(件数)について図 3-19 に示す。紙媒体は、業種、 業務内容に関わらず、どんな場合においても多用される、使用機会の多い媒体であ るため、紙媒体から漏えいする比率が高い業種が多い。「金融業,保険業」「複合サ 「公務(他に分類されるものを除く)」 ービス業」 「医療,福祉」 「電気・ガス・熱供給・ 水道業」は、特に比率が高い。「教育,学習支援業」は、「USB 等可搬記録媒体」に よる比率が高い。一方、 「サービス業(他に分類されないもの)「情報通信業」 」 「製 造業」「卸売業,小売業」は、「インターネット」および「電子メール」といったネ ットワークを介した漏えいインシデントの比率が高い。 業種によって、漏えいが発生しやすい媒体が異なっている。やはり、個人情報の移 送・保管などに使用されることが多い媒体からの発生が多いと思われる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 24
29.
3.6 漏えい規模 (1)
単年 10万~100万人未 不明 満 100万人以上 70件 10件 1件 4.2% 1万~10万人未満 0.6% 0.1% 29件 1.7% 1000~1万人未満 186件 11.1% 1~10人未満 644件 38.4% 100~1000人未満 332件 19.8% 10~100人未満 407件 24.2% 図 3-20:漏えい規模比率(件数) インシデントの漏えい規模(人数)別のインシデント件数の比率を図 3-20 に示す。 インシデントの漏えい規模が小さいほど、インシデント件数が多いことがわかる。 漏えい人数 1000 人未満のインシデントを合計すると 82.4%になり、全体の 8 割以上 を占めている。 一般的には、インシデントの漏えい規模が小さいほど公表されないケースが増えて くる。しかし最近は、漏えい人数が 1 件のインシデントでも積極的に公表する組織 が増えてきている。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 25
30.
(2)
経年分析(件数) 644件 600件 548件 500件 479件 1~10人未満 422件 10~100人未満 400件 407件 100~1000人未満 314件 332件 308件 290件 314件 1000~1万人未満 300件 281件 300件 287件 269件 1万~10万人未満 226件 10万~100万人未満 200件 178件 186件 147件 100万人以上 140件 137件 136件 111件 122件 119件 不明 100件 98件 97件 81件 70件 44件 51件 44件 50件 42件 43件 13件 38件 29件 15件 19件 19件 11件 0件 1件 4件 2件 0件 1件 10件 1件 2005年 2006年 2007年 2008年 2009年 2010年 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) 図 3-21:一件あたりの漏えい人数区分の経年変化(件数) インシデントの漏えい規模(人数)別のインシデント件数の推移を図 3-21 に示す。 2009 年に比べて、2010 年は、すべての漏えい規模の区分でインシデント件数が増 加している。2008 年以降、最も漏えい規模の小さい「1~10 人未満」の区分が、最 もインシデント件数が多い。これは、規模の小さいインシデントが実際に増加した ということではなく、規模の小さいインシデントでも公表する組織が増えてきたた めと考えられる。 © Copyright 2011 NPO Japan Network Security Association (JNSA) 26
Descargar ahora