重大性の評価指標および評価尺度

本論文では重大性の定義を，1.3.1 項で述べたとおり「情報システム事故が利 用者へ与える影響の大きさ」とし，そのレベルを小，中，大，特大の 4 レベル に区分する．表 4.4 に金融情報システム事故の場合について，本論文で提案す

表 4.4 重大性レベルの評価指標・評価尺度：金融情報システム事故の場合

小 中 大 特大

・ [0＜t＜30]

or [ 0＜n＜50]

[ (30≦t＜120) & (n≧50)]

or

[ (t≧120) & (50≦n＜300)]

[ (120≦t＜480) & (n≧300)]

or

[ (t≧480) & (300≦n＜800)]

(t≧480) &

(n≧800)

・ [0＜t＜30]

or [ 0＜m＜10⁴]

[ (30≦t＜120) & (m≧10⁴)]

or

[ (t≧120) & (10⁴≦m＜

3×10⁴)]

[ (120≦t＜480) & (m≧3×10⁴)]

or

[ (t≧480) & (3×10⁴≦m＜

3×10⁵)]

(t≧480) &

(m≧3×10⁵)

・ 0＜t＜30 30≦t＜120 120≦t＜480 t≧480

ネットバン キング・

ネット証券 関連

・

　 　 　 　

・

0円＜p＜100 万円

100万円≦p＜1000万円 1000万円≦p＜10億円 p≧10億円 0円＜q＜1万

円

1万円≦q＜10万円 10万円≦q＜1000万円 q≧1000万円

・

　 　 　 　

0＜t＜5 5≦t＜30 30≦t＜120 t≧120

0＜t＜30 30≦t＜120 120≦t＜480 t≧480

・

実害なし 迷惑や不便を与えた 損害を与えた 大きな損害を

与えた

・ メールアドレ

ス，顧客名な ど

氏名，住所，生年月日，勤務 先，電話番号など

顧客格付，取引内容，ローン残 高，融資担保設定額など

パスワード，

暗証番号，口 座番号など

・

実害なし 迷惑や不便を与えた 損害を与えた 大きな損害を

与えた

・

・

・

実害なし 迷惑や不便を与えた 損害を与えた 大きな損害を

与えた その他犯

罪

・

実害なし 迷惑や不便を与えた 損害を与えた 大きな損害を

与えた 共通関連

重大性評価指標 中分類

　－誤処理1件当たり金額（q円）

顧客サー ビス関連 大分類

本部・営業 店関連

犯罪行為

［情報配信関連］

［処理関連 ］ 銀行等

①「処理ミス」，「処理遅れ」：下記のうち 大きい方の判定を採用

　－誤処理総金額(p円）

証券

①「処理ミス」：上記銀行等の「処理ミス」

と同じ基準で判定 業務処理

関連

コンピュー タセンター 関連

コンピュータ・ウィルス：被害の程度によ り判定．損害の大きさは上記「処理ミス」

の金額を参考にして判定 情報セキュ

リティ関連

銀行等，証券

①誤情報配信：被害の程度により判定．

損害の大きさは上記「処理ミス」の金額を 参考にして判定

重大性レベル評価尺度

②「処理遅れ」：下記のうち大きい方の判 定を採用

　－遅れ時間（t分）

　－障害時間（t分）

銀行等：障害時間（t分）と障害端末数（n 台）で決まる領域

→図4.14

ネットバンキング・ネット証券：上記証券 会社と同じ基準で判定

・その他ルール

　　(1)毎月の月末に起こった事故および1ヶ月以内に起きた繰り返し事故は，上表による評価結果を１レベルアップ 　　(2)データがない事例の取扱い：データを推定できる場合は推定値を使用

　　(3)上記指標がそぐわないケースは被害の程度により判定．損害の大きさは上記「処理ミス」の金額を参考にして判定 市場操縦：被害の程度により判定．損害

の大きさは上記「処理ミス」の金額を参考 にして判定

証券会社：障害時間（t分）と契約口座数

（m）で決まる領域

証券取引所：障害時間（t分）で判定 ただし，東京証券取引所は右記判定を１ レベルアップする

サイバー犯 罪

その他情報セキュリティ犯罪：被害の程 度により判定．損害の大きさは上記「処 理ミス」の金額を参考にして判定 不正取引：被害金額で判定．具体的数 値は，上記銀行の「処理ミス」と同じ基準 で判定

情報流出（犯罪）：上記「情報流出（ミス）

と同じ基準で判定

情報流出（ミス）：流出内容により判定 ただし，流出件数が10件以下の場合は1 レベル下げる

②情報配信遅れ：遅れ時間または障害 時間による判定の大きい方を採用．具体 的数値は上記証券の「処理遅れ」と同じ

1 10 100 1,000 10,000 100,000 1,000,000

1 10 100 1,000 10,000

障害時間（分）

障害端末数

(30,50)

(480,800)

(120,300)

小 中 大 特大

重大性レベル

図 4.14 重大性レベルの各領域（銀行等の顧客サービス関連事故）

評価尺度設定の基本的な考え方は，下記のとおりとする．

事故の中分類毎に事故内容によって「利用者に与える影響の大きさ」を時間，

端末数，口座数および金額による最適な指標を選び，4レベルの尺度を設定する．

また，影響の大きさが定量的に表せない事故については，情報流出内容，被害 の程度などの定性的表現によって設定する．なお，誤処理金額や不正取引のよ うに個人的な影響と全体的な影響とが大きく異なる尺度については，個人的な 影響と全体的な影響を考慮した 2 種類の尺度を設定し，実際には大きい方のレ ベル判定を採用することとする．以下に分類毎の評価指標について詳細に説明 する．

顧客サービス関連の重大性評価指標は，図 4.14 に示すような障害時間と障害 端末数で示される領域でレベルを分けた．この考え方は，通信ネットワークに おいて法律が定める重大事故「利用者数が 3 万以上且つ電気通信役務の提供の

時間，8 時間を領域の境界時間とし，障害端末数は，銀行等の場合，50 台，300 台，800 台を領域の境界台数とした．これらの台数は，業態別の 1 機関当たりの 平均端末台数，具体的には信用組合＋信用金庫 47 台，第二地方銀行 251 台，地 方銀行＋都市銀行＋信託銀行 825 台（平成 18 年 3 月末時点[4.1]）を参考にし て決めた．また，証券会社，ネットバンキングおよびネット証券の場合は，端 末数の代わりに契約口座数を用いており，1 万，3 万，30 万を境界としている．

これらの口座数も 1 機関当たりの平均契約口座数，具体的には信用組合＋信用 金庫 2 千，第二地方銀行 16 千，地方銀行 72 千，都市銀行 6315 千（以上[4.1]）

および証券 192 千[4.2]（平成 18 年 3 月末時点）ならびに実績値を参考にして 決めた．これらの顧客サービス関連事故に関する重大性指標は，規模，すなわ ち全体への影響のみで個人への影響を区別する必要はない．その理由は，顧客 サービス関連の主要事故は，ATM 等のサービス停止事故であり，全体と個人を 区別する必要はないからである．なお，顧客サービス関連事故で上記の定量的 指標で表せない一部の機能不良に関しては，被害の程度の定性的な表現，すな わち，小「実害なし」，中「迷惑や不便を与えた」，大「損害を与えた」，特大「大 きな損害を与えた」を使用する．

表 4.4 に示されているように業務処理関連の中で処理関連の場合，誤処理金 額を指標とし，全体への影響を表す総金額と個人への影響を表す１件当たり金 額で判定し，大きい方のレベルを採用する．ただし，証券関係における「処理 遅れ」に関しては，遅れ時間が重要であるので，遅れ時間または障害時間で判 定し，大きい方のレベルを採用する．業務処理関連の中で情報配信関連の場合，

「誤情報配信」は被害の程度を，「情報配信遅れ」は遅れ時間または障害時間の 大きい方を各々指標としている．

共通関連では，「情報流出（ミス）」は流出内容を，「コンピュータウィルス対 応不足」は被害の程度を各々指標としている．

犯罪行為では，「不正取引」は被害金額を，「情報流出（犯罪）」は流出内容を，

「その他情報セキュリティ犯罪」は被害の程度を各々指標としている．

4.4.2 各事例の重大性分析

本項では，各事故事例の重大性レベルを表 4.4 によって判定し，それらの結 果を使用してニュース性（平均新聞数）との関係を明らかにする．

(1) 事故分類別重大性レベルの分析

事故大分類別重大性レベルの判定結果は，表 4.5 に示すとおりである．ここ で平均重大性レベルとは，重大性レベルの小，中，大，特大を各々数値 1，2，3，

4 に対応させ，それらの平均値をとったものである．表 4.5 から下記のことがい える．

－全体の重大性レベルの構成比率は，「小」16.2%，「中」25.4%，「大」35.4%，「特 大」16.2%，不明 6.8%であり，多少「大」側に寄った分布になっている．表 4.5 で「不明」とは，新聞報道情報のみでは重大性レベルの判定ができない事 例である．

－各事故大分類別の平均重大性レベルは，大きい順に「業務処理関連」2.8，「犯 罪行為」2.8，「共通関連」2.5，「顧客サービス関連」2.4，全体平均 2.6 であ る．犯罪行為のレベルが低めなのは，重大性評価指標に犯罪行為という要因 は設定せず，あくまでも利用者への影響という観点でその他の項目と同じ指 標にしたからである．

表 4.5 事故大分類別重大性レベル

小 中 大 特大 不明

顧客サービス関連 52 60 72 30 18 2.4 業務処理関連 10 24 39 28 11 2.8

共通 4 11 7 5 0 2.5

犯罪行為 3 13 33 6 0 2.8

合計 69 108 151 69 29 2.6

比率(%) 16.2 25.4 35.4 16.2 6.8

重大性レベル別事例件数 平均

重大性 レベル 事故分類

(2) 重大性とニュース性の相関関係の分析

金融機関の利用者の立場からみた事故の重大性と報道する立場からみたニュ ース性の相関関係を以下に分析する．これらの相関関係が負の場合，利用者の 立場で重大な事故に関する報道がニュース性低く扱われており，広く伝えられ ていないという問題が生じていることになる．

① 事故大分類別分析

事故大分類別の重大性とニュース性の関係を図 4.15 に示す．図 4.15 より下 記のことがいえる．

a.「顧客サービス関連」事故では正の相関がある（r=0.35，P 値＜0.01)．

b.「業務処理関連」では多少相関があるが，小さい（r=0.29，P 値＜0.01）． c．「共通関連」「犯罪関連」では多少相関があるが，小さい．実際，「共通関連」

は r＝0.23，P 値＝0.25，「犯罪行為」は r＝0.11，P 値＝0.41 であり，視覚 的な判定とは少し異なっている．その理由は，「共通関連」および「犯罪行 為」の平均新聞数は各々3.0，3.4 と大きいことから分かるとおり，これらの 事故が発生した事自体が高いニュース性を持っており，新聞数データが上部 に集まっているため，有意差が低くなったと考えられる．特に「犯罪行為」

の発生自体がニュース性高く取り扱われる背景には，金融機関が市民生活や 社会経済活動を支える重要インフラの一つであり，サービスや商品の安定供 給が期待されていることがある．このため，これらの活動を支える金融情報 システムやそこに勤務する従業員は他の職種と比べてより高い信頼性，安全 性が求められており，それらを揺るがす犯罪行為に対しては社会的関心が高 いためといえる．

d. 全体平均では正の相関がみられる（r=0.33，P 値＜0.01）が，それは正の相 関の強い「顧客サービス関連」の件数が全体の約 54%を占めていることによる．

ドキュメント内 電気通信大学 (ページ 106-117)