経由の情報漏えいの直接的原因は Antinny 等のウイルスに感染したことによるが、その契機に
なった原因が、
「私有 PC を業務に使用した」
「自宅の私有 PC に業務データをコピーした」「業
務用 PC に Winny をインストールした」などの未許可の活動やルールの逸脱あるいは管理の不
備にある。したがって、本書では、Winny に起因する情報漏えいについては一部を除き「管理
ミス」や「不正な情報持ち出し」に分類した。
個人情報漏えいの原因を業種別に集計した結果が図 3 になる。
下図では、情報漏えいの原因について、発生件数の比率をグラフ化した。例えば「林業」では、
「紛失・置忘れ」が発生件数一件であるにもかかわらず、その一件しか発生していないため比
率は 100%になることにご注意いただきたい。(棒グラフ内の数値は件数)
7
20
18
21
3
48
19
7
21
42
13
19
28
1
4
11
39
28
7
37
205
2
1
9
25
10
16
39
8
3
11
13
34
3
2
6
3
14
31
3
5
15
1
3
18
2
3
6
8
7
4
5
1
4
3
5
1
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
農
業
林
業
漁
業
鉱
業
建
設
業
製
造
業
電
気
・
ガ
ス
・
熱
供
給
・
水
道
業
情
報
通
信
業
運
輸
業
卸
売
・
小
売
業
金
融
・
保
険
業
不
動
産
業
飲
食
店
、
宿
泊
業
医
療
、
福
祉
教
育
、
学
習
支
援
業
複
合
サ
ー
ビ
ス
事
業
サ
ー
ビ
ス
業
*他
に
分
類
さ
れ
な
い
も
の
*
公
務
*他
に
分
類
さ
れ
な
い
も
の
*
分
類
不
能
の
産
業
不明
その他
ワーム・ウイルス
設定ミス
バグ・セキュリティホール
目的外使用
不正アクセス
不正な情報持ち出し
内部犯罪・内部不正行為
管理ミス
誤操作
紛失・置忘れ
盗難
図 3 業種別の漏えい原因集計
「金融・保険業」において紛失・置忘れの比率が高いのは、4.3.2 で述べた通り現状の個人
情報保管状況を再確認した際に、コムフィッシュ(小さなフィルムに微細な文字で大量の情報
を記入したもの)などの過去の記録の紛失に気が付いた例が多数あったためである。「電気・
ガス・熱供給・水道業」
「教育・学習支援業」において盗難や紛失・置忘れの比率が高い。
「電
気・ガス・熱供給・水道業」は、メータの検針作業中に、検査員が持ち歩いていた顧客台帳を
とした場合の比率が高い。この3つのみで漏えい経路に占める割合が 80%を越えているのは注
目に値する。個人情報を持ち出した先で漏えい事件に遭遇していることが大きく起因すると考
えられるので、個人情報を持ち出す際のルールを守り、PC や USB メモリーで個人情報を持ち
出す際は、暗号化する等、持ち出した先での漏えいを考慮し対策を行う必要があると考える。
特に紙媒体による漏えいは 49.9%と約半数を占めている。紙媒体の場合は、紛失・置忘れあ
るいは盗難が原因として考えられ、持ち出しルールの厳格化やルールの徹底のための教育、携
行している間は、常に気を抜かず身近に置いておくという非常に人的な基本的な対策が有効と
考えられる。
個人情報漏えいの経路を業種別に集計した結果が図 5 と図 6 である。
1
6
6
4 7
3 1
1 0
5 7 1 5 8 9
2 3 3 8
2 3
2 1
8 5
0
4
2 3
6
1 9
2 3 5
8
2
1
1 6 2 4
1
1 9
1 3
0
1
5
6
8
3
1 0 2
1 0 1 3
3
5
5
0
3
2
1 1
2 4 8
2
1 0
1 4
0
6
3
1 1 1 1
2
2
2
1 2 1 1
0
0
4 1 9
0
3 1
0
6
1 0
2 4
2
0 %
1 0 %
2 0 %
3 0 %
4 0 %
5 0 %
6 0 %
7 0 %
8 0 %
9 0 %
1 0 0 %
農
業
林
業
漁
業
鉱
業
建
設
業
製
造
業
電
気
・
ガ
ス
・
熱
供
給
・
水
道
業
情
報
通
信
業
運
輸
業
卸
売
・
小
売
業
金
融
・
保
険
業
不
動
産
業
飲
食
店
、
宿
泊
業
医
療
、
福
祉
教
育
、
学
習
支
援
業
複
合
サ
ー
ビ
ス
事
業
サ
ー
ビ
ス
業
*他
に
分
類
さ
れ
な
い
も
の
*
公
務
*他
に
分
類
さ
れ
な
い
も
の
*
分
類
不
能
の
産
業
不明
その他
FT P経由
Emai l経由
W e b・ Ne t 経由
FD等可搬記録媒体
PC 本体
紙媒体経由
図 5 業種別の漏えい経路集計(件数)
4 7
3 1 5 7
1 5 8
2 3 3 8 2 3 2 1
8 5
2 3
1 9
3 5
8
1 6 2 4 1 9
1 3
1 0 2
1 0
1 3
1 4
1
1 0
9 1
1 0
0
5 0
1 0 0
1 5 0
2 0 0
2 5 0
3 0 0
農
業
林
業
漁
業
鉱
業
建
設
業
製
造
業
電
気
・
ガ
情
報
通
信
運
輸
業
卸
売
・
小
金
融
・
保
不
動
産
業
飲
食
店
医
療
、
福
教
育
、
学
複
合
サ
ー
サ
ー
ビ
ス
公
務
*他
分
類
不
能
件
数
不明
その他
FT P経由
Email経由
We b・Ne t 経由
FD等可搬記録媒体
PC本体
紙媒体経由
4 年間で個人情報漏えいが発生した組織の業種別比率は図 15 の通り。(棒グラフ内の数
値は件数)
図 15 業種別漏えい件数の経年変化(2002 年∼2005 年)
2005 年は「金融・保険業」の比率が増加している。4.3.2 でも述べた通り、監督官庁の
指導で、漏えい規模の大小にかかわらず報告・公表を行ったためと考えられる。
0100
11
13
49
12
66
19
1 1
36
84
3
4
17
3
5
28
114
2
1 2
64
293
3
2
21
54
7
6
27
84
1
2
33
1
4
8
12 7
139
5
2
1 1
5
15
2
3
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
1 00%
200 2年
20 03年
2 004 年
200 5年
分 類不 能の産 業
公 務(他に分 類され ないもの )
サ ー ビ ス業 (他 に分類されないも の)
複 合サ ー ビ ス事業
教 育、学 習支援 業
医 療、福祉
飲 食店 、宿泊業
不 動産 業
金 融・ 保険 業
卸 売・ 小売 業
運 輸業
情 報通 信業
電 気・ ガス・ 熱 供給 ・ 水 道業
製 造業
建 設業
鉱 業
漁 業
林 業
農 業
教育
学習支援業
公務
金 融・ 保険業
卸 売・ 小売業
医療
福祉
情報通信業
製造業
電気・ガス・
熱供給・水道業
不動
産業
複合 サービス業
運輸業
5.2.3 想定損害賠償額算出式
「5.2.2 算定式の入力値の解説」で説明したことを統合した算出式の全体像は以下のように
なる。
一般的
一般より高い 適正な取扱いを確保すべき個別分野の業種(医療、
2
金融・信用、情報通信等)および、知名度の高い大企
業、公的機関。
1
その他一般的な企業および団体、組織。
社会的
責任度
判定基準
1
適切な対応
1
不明、その他
2
不適切な対応
事後対応評価
判定基準
経
済
的
損
失
精神的苦痛
基本
情報
経済的
情報
プライバシー
情報
X
y
6
個人を簡単に特定可能。
「氏名」「住所」が含まれること。
1
特定困難。上記以外。
3
コストを掛ければ個人が特定できる。
「氏名」または「住所+電話番号」が含
まれること。
本人特定
容易度
判定基準
【EP図】
【判定基準表】
想定損害賠償額
=漏えい個人情報価値
×情報漏えい元組織の社会的責任度
×事後対応評価
=(基礎情報価値×機微情報度
×本人特定容易度)
×情報漏えい元組織の社会的責任度
×事後対応評価
=基礎情報価値 [500]
×機微情報度 [Max(10
x-1
+5
y-1
)
×本人特定容易度 [6,3,1]
×情報漏えい元組織の社会的責任度 [2,1]
×事後対応評価 [2,1]
45%という高い割合を占めることは予想していなかった。さらに機微度が高い情報(経済的ラ
ンク=3、精神的ランク=3)は、全体に占める割合が 5.9%と低い。これは、管理や対策が適切
に行われているためと思われる。
経済的ランク=2 や精神的ランク=2 までの情報は、基本情報よりも厳しく管理しなければな
らない個人情報であるにも関わらず、さらに機微度が高い情報と比べて情報の管理および漏え
い対策が適切なレベルで行われていないと思われる。
2005 年の個人情報漏えい事件の調査データをもとに、Simple-EP 図に業種別の分布を表した
ものを図 22 と図 23 に示す。
農
業
林
業
漁
業
鉱
業
建
設
業
製
造
業
電
気
・
ガ
ス
・
熱
供
給
・
水
道
業
情
報
通
信
業
運
輸
業
卸
売
・
小
売
業
金
融
・
保
険
業
不
動
産
業
飲
食
店
、
宿
泊
業
医
療
、
福
祉
教
育
、
学
習
支
援
業
複
合
サ
ー
ビ
ス
事
業
サ
ー
ビ
ス
業
*他
に
分
類
さ
れ
な
い
も
の
*
公
務
*他
に
分
類
さ
れ
な
い
も
の
*
分
類
不
能
の
産
業
不明
精神的ランク 1
精神的ランク 2
精神的ランク 3
3
7 0
5 4
2 5
2 6
1 2
3
1 2
1 5 6
1 0 2
1 5
7 6
6 1
4 6
9
1
5 5
1 5
7
5 5
3 5
3
1 3 3
1 2
2
7
5
3
2
1 4
1
3
7
1
1
0
2 0
4 0
6 0
8 0
1 0 0
1 2 0
1 4 0
1 6 0
ランク 3 の個人情報が高い割合で漏えいしていることが分かる。
「公務」
「医療・福祉」
「教育・
学習支援」は、個人生活に関する情報や医療情報、成績など、個人のプライバシーに関わる情
報を主に扱うため、保有する情報について把握し、十分な対策を行うことが求められる。
さらに、「医療・福祉」「教育・学習支援」は、精神的ランク 1 の個人情報の漏えい件数と、
精神的ランク 2 の個人情報漏えいの件数が逆転している。ここから、
「医療・福祉」
「教育・学
習支援」は、基本情報よりも厳しく管理しなければならない精神的ランク 2 の個人情報につい
て、情報の管理および漏えい対策が不十分であると思われる。
農
業
林
業
漁
業
鉱
業
建
設
業
製
造
業
電
気
・
ガ
ス
・
熱
供
給
・
水
道
業
情
報
通
信
業
運
輸
業
卸
売
・
小
売
業
金
融
・
保
険
業
不
動
産
業
飲
食
店
、
宿
泊
業
医
療
、
福
祉
教
育
、
学
習
支
援
業
複
合
サ
ー
ビ
ス
事
業
サ
ー
ビ
ス
業
*他
に
分
類
さ
れ
な
い
も
の
*
公
務
*他
に
分
類
さ
れ
な
い
も
の
*
分
類
不
能
の
産
業
不明
経済的ランク 1
経済的ランク 2
経済的ランク 3
3
1 0 2
5 6
2 7
8 1
5 4
2
1 1
7 1
8 7
1 4
7 1
5 5
4 8
8
1
2 7
1 0
6
3
1
4
2 0 6
1 2
2
1 2
9
1
3
1 0
3
1 3
1 5
1
1
2
0
5 0
1 0 0
1 5 0
2 0 0
2 5 0
図 23 業種別 EP 分布(漏えい情報の経済的損失度レベルの分布)