個人情報漏洩の業種別傾向に関する研究:
インシデントデータベースに基づく
櫻 井 直 子 † A Study on Industry-Specific Patterns of Incidents of Personal
Information Leakage: Based on the Incident Database
Naoko Sakurai
Complying with a request of reaching an adequate level of personal data protection by the EU Di- rective, the Personal Information Protection Law has been in effect since 2005 in Japan. A series of acci- dents relating to personal information leakage has caused serious social concern. Focusing on the differ- ence in types of personal information leakages between industries, the author sampled over 5,200 incidents from January 2000 to December 2011. In addition to the primary data analysis, a pattern of incidents inherent to each industry was extracted using a correspondence analysis. In comparison with the author
ʼs previous study in 2005, the actual conditions of recent personal information leakages were examined. The results can be utilized to devise efficient security measures and may contribute to further refinement, improvement, or revision of the law.
1.
はじめにインターネットの普及により大きく進展した情報社会は,携帯電話からスマートフォンとさらに国 民の生活に深く浸透し,いまや社会生活のすべてを情報システムに依存する構造となっていると言っ ても過言ではない。日本のインターネット普及率は,
1997
年末は9.2
%であったが,2002
年末に57.8
%と半数を超え,年々増加の一途をたどり,直近の2011
年末で,インターネット利用者数は対 前年比148
万人増の9,610
万人,人口普及率79.1
%(対前年比0.9
ポイント増)と,8
割に達しよう としているのである1。従来,個人情報は主に本人が何らかの場面において提供したものであったが,いまや本人の意思に 関わらず,検索や購買情報,
GPS
による行動情報,交通系IC
カードから得られる移動情報,や
2012
年は,このようなデータを「ビッグ・データ」と呼ばれる膨大な情報として収集・分析し,マーケティングなど新たな 知見に活用しようとする試みの取組みが本格的に始まった「ビッグ・データ元年」と言われている2。 このような個人の行動に関するデータが累積されればされるほど,他人には知られたくない私生活上 の事実までがビッグ・データとして活用されてしまうのである。これら個人データの集積は,当然日 本国内に留まらない。ネット上のデータに国境はなく,瞬時に大量のデータが国境を越えてプライバ
† 早稲田大学アジア太平洋研究センター特別研究員
シーを脅かすことが十分予測できる。
プライバシーの保護に関する原則は,
1980
年経済協力開発機構(OECD
)による「個人情報保護8
原則」に始まり,1995
年欧州連合(EU
)の「EU
データ保護指令」により,具体的に域内各国の 法制化,第三国についても十分なレベルの保護措置を講じることが求められた。その後今日までの間 の変化は大きく,これまでのプライバシー保護原則では十分でないとして,EU
は2012
年1
月,「EU
データ保護規則」提案を提出した。この改定案では,個人情報保護データの概念の拡大,加盟国の立 法措置を必要とする「指令」から加盟国に直接適用される「規則」への変更,EU
規則に違反した場合,最大で
100
万ユーロ,また企業の場合には年間世界売上の2
%の課徴金を科すといった罰則規定な ど,全体的にデータ保護制度を厳格にするものとなっている3。日本は,
1995
年のEU
データ保護指令を受けて「個人情報の保護に関する法律(以後,個人情報 保護法)」として法制化し,2005
年に全面施行した。しかし,EU
各国に比べ規定が緩やかであるこ となどから,いまだ個人データの第三国移転を認めるための十分な保護レベルの認定を受けていな い。その多くの理由の一つに「個人情報漏洩時等の報告・連絡義務がない」ことがある。また,罰則規 定も緩やかで,違反した場合の罰金は最高でも
30
万円である。実際は,多くの事業者が技術的な対 策は勿論のこと,情報セキュリティポリシーなどルールの策定や情報セキュリティ教育の実施など,組織的な情報セキュリティ対策を行っている。それにも関わらず,個人情報漏洩は後を絶たない。事 業者は,「個人情報の保護に関する基本方針」において,個人情報漏洩が発生した場合可能な限り事 実関係などを公表することが重要とされていることから,ホームページ上などで公表するケースが多 い。しかし,これは義務でないため,すべての事業者が公表しているかは不明である。一方で,個人 情報漏洩を何度も公表している事業者もあり,形式的にマニュアルに従い事故の公表をすることで終 わりにしている印象も否めず,罰則規定の緩やかさ故に対策自体が形骸化していることも懸念され る。
2.
本論文の目的と分析方法以上の背景から,本論文の目的は,個人情報保護の重要性が特に高まった
2000
年以降,日本にお ける個人情報漏洩の実態がどのようであったかを,個人情報漏洩インシデントデータを様々な角度か ら分析し,個人情報漏洩の実態を実証的に解明することにある。2005
年までのデータを分析した筆 者らの論文4との比較も加え,2011
年までに,前述のような社会の変化に伴い個人情報漏洩につい て実際何がどのように起こったか,どのような経年変化があったのかを分析し,今後の個人情報漏洩 防止の一助となる提言をすることを目指すが,まずは業種別の動向を把握することによってその端緒 を開こうとするものである。具体的には,個人情報漏洩インシデントの事例に関する広範なサーベイから,個人情報漏洩に関す る記事を収集して構築した
5,219
件のデータベースを利用して,漏洩の原因,漏洩した情報数,およ びインシデント回数に関する業種による違いに焦点を当て,統計的手法により分析を行った。分析の方法は,次の
2
種類を採用した。①個人情報漏洩インシデントを全体的に把握するため,年度別,業種別,原因別などのクロス集計に
よる一次分析を行った。
②インシデントの様々なカテゴリーによる規則性,類似性を確認するためコレスポンデンス分析を 行った。コレスポンデンス分析は,クロス表で似たパターンをもつ属性(ユーザカテゴリとクラス タ)を近くに配置する統計解析手法である。主にマーケティングの分野で活用されてきた手法であ り,ブランドイメージの分析などで頻繁に用いられている。個人情報漏洩インシデントにおいて業 種による何らかの規則性・類似性が認められるかをマッピングという視覚的に分かりやすい形で表 示できることから,本研究で利用することとした。
これらの方法により,実証的に以下の
3
つの傾向を得ることを目的とする。①業種によるインシデントの傾向(業種と原因,業種と漏洩情報数)
②どのような原因が大きな事故を引き起こすか(漏洩原因と漏洩情報数)
③インシデント再発はどのような業種に傾向があるか(業種とインシデント回数)
3.
個人情報漏洩インシデントデータベースの概要本データベースは,
2000
年1
月1
日より2011
年12
月31
日までに公表された個人情報漏洩に関 する記事を,新聞,インターネット,事業者のホームページなどから,合計5,219
事例を筆者が収集 し,内容を分類したものである。これらデータは,公表されたものからでき得る限り収集したもので あるとはいえ,インシデント全てを網羅しているわけではなく,マスコミが注目しやすい業種などに 偏りがあることや,積極的に公表する事業者の件数が多いなど,バイアスがあることは否めない。し かし,2000
年以降12
年間に亘る膨大なデータベースに基づく統計は他に例をみないものであり,本 データによる分析結果も個人情報漏洩の実態に関する統計の一つとみることができると考える。データベースの分類のうち,原因については表
1
のとおり9
種類に分類した。情報種別は,経済産業省ガイドライン,
JIS Q 15001
個人情報保護マネジメントシステムなどを参 考に3
つに分類した。①「基本情報」は,氏名,生年月日,住所,電話番号など,②「信用情報など」は,個人の利益に影響のある情報であり,金融資産などの信用情報,学歴・成績,身体的特徴などと し,③「センシティブ情報」は,
JIS Q 15001
で収集が禁じられている情報で,医療カルテ,病歴,犯罪歴,人権にかかわる情報などとした。
事業者の分類は,大きく①公務,②教育機関,③医療機関,④企業,⑤その他の
5
分類とし,さら に,企業を証券コードによる分類を基準とし,①水産・農林業,②鉱業,③建設業,④製造業,⑤電表1 原因の分類
気・ガス業,⑥倉庫・運輸関連業,⑦情報・通信,⑧商業,⑨金融・保険業,⑩不動産業,⑪サービ ス業の
11
の業種に分類した。4.
一次分析4.1
年度別インシデント数年度別・業種別データ数は,図
1
のとおりである。2005
年4
月1
日の個人情報保護法完全施行が 決定した2004
年以降,個人情報に関する社会の関心が高まり,過熱報道といわれるほど,日々個人 情報漏洩報道が行われた。2005
年は,特に報道が過熱したことと,事業者が保有している個人情報 の管理点検により,過去に遡って個人情報保護法に違反する結果を公表したことなどから,件数が増 加したものと考えられる。2006
年以降は,報道の過熱が治まり些細なインシデントの報道がなく なったことから,徐々に減ってきたと推測されたのであるが,2009
年以降また増えている。実態と して,インシデントはそれほど減っていないと言えるであろう。4.2
原因表
2
に年度ごとの原因別データ数を示す。12
年間のデータ全体では,故意・悪意による事件は414
(
7.9
%)と少なく,4,805
(92.1
%)は過失によるものであった。先行研究による2000
年から2005
年までの合計では,故意・悪意による事件は16.4
%,過失によるものは83.6
%だったことから,さ らに過失の割合が高くなったことが分かる。最も多かったのは「紛失」で全体の33.7
%,次が「過失 による流出」で23.3
%,「過失による盗難」が19.1
%と続く。2005
年の順位は,①「紛失」,②「過 失による盗難」,③「過失による流出」であったことから,ネットワークを通じた流出が多くなって きたことが分かる。また,2009
年以降,役所などの発表が多く行われるようになり,紙媒体の「漏洩」が増えてきたことが特徴的である。
2005
年以降にみられた原因の一つにUSB
メモリを媒体としたインシデントがある。図2
にみられ るとおり,急速に普及したものであるが,携帯に便利なことが,逆に漏洩につながっている。「紛失」図1 年度別・業種別インシデント数
と「盗難」が半数であり,持ち出しを禁止されているにも関わらずデータを持ち出したケースは
78
事例あった。4.3
業種図
3
に事業者別の割合を示す。企業が起こしたインシデントの割合が高く,59.7
%(3,117
)であっ た。次が官公庁,地方公共団体,警察などの「公務」で25.5
%(1,333
)であった。企業の業種別では,多い方から①「金融・保険」
15.3
%(797
),②「情報・通信」12.4
%(647
),③「商業」
9.0
%(468
)の順であった。「公務」や「金融・保険業」は,個人情報保護に対する行政指導が強く働いていることにより,小 規模の事故であっても公表していることから,数として多くなっていると思われる。
2009
年以降全 体の数が増えたのも,他の業種があまり変わらない中,「公務」の数が増えたことによる。表2 年度別・原因別インシデント数
図2
USB
メモリを媒体とする漏洩4.4
情報の種別情報の種別は
3
つに分類したうち「基本情報」が3,120
(59.8
%)と最も多く,「信用情報など」が1,742
(33.4
%),「センシティブ情報」は357
(6.8
%)であった。漏洩した情報の種別を業種別にみると,「センシティブ情報」に大きな特徴がみられた。全体では
「企業」の事故が
59.7
%であるのだが,「センシティブ情報」のインシデント357
のうち「医療機関」が
195
(54.6
%),「公務」が120
(33.6
%)で,この2
つの業種の合計315
事例が88.2
%を占めた。特に,「医療機関」のインシデント
206
のうち80.6
%が「センシティブ情報」であったということは,「医療機関」の扱う情報の重さを示している。
「信用情報など」については,
1,742
のうち全体として数が多い「企業」が1,016
(58.3
%)であるが,その中で「金融・保険業」が
574
(33.0
%)と最も多かった。次に「公務」419
(24.1
%)と「教育 機関」276
(15.8
%)が多く,この3
業種で72.9
%だった。金融・口座情報などを扱う「金融・保険 業」,戸籍・納税・介護関係などを扱う「公務」,成績・答案などを扱う「教育機関」が情報漏洩を起 こすと,このレベルの情報が漏洩してしまうことになる。「基本情報」は,
3,120
のうち2,072
(66.4
%)が「企業」であり,①「情報・通信」562
(18.0
%),②「商業」
357
(11.4
%),③「サービス業」284
(9.1
%),④「金融・保険業」215
(6.9
%),⑤「製 造業」207
(6.6
%)の順であった。4.5
漏洩情報数表
3
のとおり,被害者数ともいえる漏洩した情報数は43.3
%が100
件未満であり,うち9.8
%が1
件の漏洩であるように,多くの場合インシデント1
回当たりの被害者数は少ない。大きく報道された
100
万件以上は14
事例であったが,うち9
事例が「故意・悪意による」原因で あり,さらに6
事例は故意・悪意による「流出」だった。これらのほとんどは,これまで主に悪意を 持って情報を流出,あるいは不正に持ち出した事件と,誤って廃棄した事故の2
種類であったが,2011
年になって,(株)ソニーを始めとする大規模な不正アクセスによる情報の流出があった。図3 業種別インシデント割合
業種別では,
100
万件以上のインシデント14
事例のうち,「金融・保険業」が35.7
%,「情報・通信」が
21.4
%,「公務」が14.3
%だった。10
万〜100
件万未満のインシデント110
事例も同様の業種で「金融・保険業」が
40.9
%,「情報・通信」が15.5
%,「公務」が12.7
%だった。4.6
インシデントの再発インシデントが
1
回だけの事業者は2,217
であった。10
回以上公表した事業者は37
で,内訳は,「公務」が
13
事業者,「情報・通信」と「金融・保険業」が5
社,「建設業」と「電気・ガス業」が4
社,「商業」3
社,「倉庫・運輸関連業」2
社,「サービス業」1
社であった。2009
年以降公表数が増加した大阪府大阪市は,最多の248
回であった。大阪市政策企画室市民情 報部は,こうした事態を重くみて対策の指示をしているが,これほど頻発すると,対策が不十分であ ると言わざるを得ないだろう。これらの事例の76
%が住民票や書類などを別人に渡す,あるいは宛 先を間違えて送付するという単純な人的ミスであって,書類の交付時,氏名だけに頼らず本人確認を 複数の人間でチェックして渡すなどの体制を作るだけで,多くが防げるミスではないだろうか。その他,地方公共団体では,神奈川県横浜市,東京都,静岡県静岡市,埼玉県も
30
回以上となっ ている。地方公共団体は事故をホームページ上で公表しても比較的早くサイトを閉じるところが多 い。詳細に発表し長期間ホームページ上で公表している大阪市や横浜市のデータは,筆者のデータ ベース上数が多くなっているが,データを収集できなかったその他の地方公共団体でも,実際はイン シデントが多く発生しているのではないかと推察される。10
回以上公表した37
事業者のインシデント1,211
事例の原因は,95.2
%が過失によるもので,う ち37.2
%が「紛失」,28.3
%が「漏洩」,13.4
%が「流出」,13.0
%が「盗難」だった。企業で回数が 多かった「電力・ガス業」の場合は検針員などが,(社)日本放送協会(NHK
)の場合は,受信料の 契約収納業務の担当者などが,書類,領収書,携帯端末などを紛失した,あるいは盗まれたというケー スが相変わらず多い。NTT
東日本・西日本の95
事例については,業種の特徴といえるのであろう「過失による流出」が最も多く,うちファイル交換ソフトによるウイルス感染が原因の流出が
19
事例 あった。また,他の事業者にあまりみられない不正提供など故意・悪意による事件が14
事例あった。表3 漏洩情報数別・原因別インシデント数
4.7
まとめ以上の一次分析より,以下の知見が得られた。
(
1
)原因2005
年に比べ,ネットワークを通じた「流出」が多くなってきた。また,2009
年以降,役所など の発表が多く,紙媒体の「漏洩」が増えた。(
2
)業種事業者別にインシデントが多かったのは,
59.7
%が企業,25.5
%が公務であった。企業の業種別で は,「金融・保険」,「情報・通信」,「商業」の順で多かった。(
3
)漏洩情報数43.3
%が100
件未満だった。100
万件以上漏洩した事件・事故は14
事例あったが,9
事例が「故 意・悪意による」原因であり,うち6
事例は「故意・悪意による流出」だった。(
4
)情報種別「センシティブ情報」のインシデントの
88.2
%が「医療機関」と「公務」で,「信用情報など」のイ ンシデントについては,「金融・保険業」,「公務」,「教育機関」の3
業種で72.9
%だった。(
5
)事故の再発事故が
1
回だけであった事業者は2,217
。10
回以上公表した事業者は37
あった。業種では,多い 順に,①公務,②情報・通信,②金融・保険業,④建設業,④電気・ガス業,⑥商業,⑦倉庫・運輸 関連業,⑧サービス業であった。5.
コレスポンデンス分析による分析結果次に,コレスポンデンス分析を利用して,これらの特徴についての検証を行った。
コレスポンデンス分析は第
2
章で説明したとおり,クロス表で似たパターンをもつ属性を近くに配 置するもので,2
種類のカテゴリの関係をマッピングという視覚的に分かりやすい形で表示できるも のである。それぞれの関係について,得られた知見と考察を行う。
5.1
業種と原因の関係2000
年から2005
年までの1,511
データの分析では,3
つに大きく分類できた。①過失による原因のパターン:「教育機関」,「商業」,「電気・ガス業」,「建設業」,「水産・農林業」
②故意 ・ 悪意による原因のパターン:「公務」,「医療機関」,「倉庫・運輸関連業」
③流出のパターン:「情報・通信」,「サービス業」,「製造業」,「不動産業」,「その他業種」
本分析は図
4
に示すとおりで,次元1
と次元2
の軸は,2
つのカテゴリーの何らかの関係を表すも のである。図4
からはイメージがとらえられないが,2005
年まで分類と異なり,一部に特徴的な傾 向がみられた。①「過失による漏洩」と「公務」(図左上)
②「過失による不適切処理」と「金融・保険業」(図左下)
③「流出」と「情報・通信」,「サービス業」,「製造業」,「その他業種」(図右上)
④故意 ・ 悪意による「盗難」,「不適切処理」と「電気・ガス業」,「倉庫・運輸関連業」(図右下)
5.2
業種と漏洩情報数の関係図
5
のとおり,次元1
は漏洩情報数の大小を表しており,プラス方向が少なく,マイナス方向が多 図4 業種と漏洩原因のポジショニングマップ図5 業種と漏洩した情報数のポジショニングマップ
いとみることができるだろう。次元
2
については,特徴がみられない。図の右下に「
1
〜99
」,左下に,5,000
以上が配置されており,「公務」,「建設業」と「1
〜99
」に関 連が大きく,「金融・保険業」,「倉庫・運輸関連業」と5,000
以上の関連が大きいことが分かる。4.5
節で説明したとおり,10
万件以上のインシデントの数が多かったのは,「金融・保険業」,「情 報・通信」,「公務」であったが,本分析により「倉庫・運輸関連業」も5,000
件以上大きな漏洩との 関連が大きいことが分かった。5.3
業種とインシデント回数の関係図
6
の次元1
はインシデント回数を表しており,プラス方向が多く,マイナス方向が少ないとみる ことができるだろう。次元2
については,特徴がみられない。右上に
50
回以上と「公務」が配置されている。「公務」がインシデントと再発と関連が強いことが 分かる。右下には,「10
〜49
回」と「建設業」,「倉庫・運輸関連業」,「電気・ガス業」,次元1
のゼ ロ付近に「2
〜9
回」と「金融・保険業」がある。1
回については,特徴はみられないが,2
〜9
回に「金融・保険業」,10
〜49
回に「建設業」,「倉庫・運輸関連業」,「電気・ガス業」の関連が大きいとみられる。
4.6
節で説明したインシデントを10
回以上公表している事業者のうち,「情報・通信」,「商業」,「サービス業」については明らかな傾向は得られなかった。
5.4
漏洩情報数と原因の関係図
7
の次元1
は漏洩情報数を表しており,プラス方向が多く,マイナス方向が少ないとみることが できるだろう。次元2
については,特徴がとらえられない。図6 業種と回数のポジショニングマップ
左下に「
1
〜99
」と「過失による漏洩」,右下に,5,000
以上と主に「故意・悪意による」原因が配 置されている。原因が故意・悪意であるものと大きな漏洩情報数との関連があることが明らかになっ た。6.
個人情報漏洩インシデントの実態の考察(
1
)原因2005
年に比べ,ネットワークを通じた流出が多くなってきた。「流出」の傾向がある業種は,「情 報・通信」,「サービス業」,「製造業」と「その他業種」であり,これらの業種は2005
年の分析でも 同様の傾向がみられた。「金融・保険業」は,「過失による不適切処理」の傾向が明らかで,実際マイクロフィルムなどを誤 廃棄したケースは,インシデントの合計
797
のうち316
あった。誤廃棄は,2005
年の66
事例に比 べれば減少しているとはいえ,2011
年でも37
事例あった。2009
年以降,役所などでインシデントの公表を積極的に行うようになり,うっかりミスなど紙媒 体での「漏洩」が非常に増えている。故意 ・ 悪意による「盗難」,「不適切処理」と「電気・ガス業」,「倉庫・運輸関連業」の関連がみら れた。「倉庫・運輸関連業」については,
2005
年の分析でも同様の傾向があったが,「電気・ガス業」は,実際故意 ・ 悪意によるインシデント数も少ないため,この結果にはさらに検証を加える必要があ ると考える。
(
2
)漏洩情報数原因が故意・悪意であるものの漏洩情報数が大きいことが分かった。
100
万件以上のインシデント14
事例のうち9
事例が「故意・悪意による」原因であったが,本分析からも関連性がみられた。図7 漏洩原因と漏洩数のポジショニングマップ
業種別では,「公務」,「建設業」の漏洩情報数が少ない傾向にあり,「金融・保険業」,「倉庫・運輸 関連業」の数が特に多い傾向があることが分かった。
10
万件以上の漏洩があったインシデントのう ち数が多かった業種は,「金融・保険業」,「情報・通信」,「公務」であったが,「倉庫・運輸関連業」も
5,000
件以上の大きな漏洩との関連が大きいことが判明した。「公務」は
10
万件以上のインシデントが16
事例あったが,全体のインシデント数からみるとこの 割合は1.2
%に過ぎないため,傾向としては「1
〜99
」との関連が大きいとみられる。(
3
)事故の再発2
回から9
回に「金融・保険業」,10
回から49
回に「建設業」,「倉庫・運輸関連業」,「電気・ガ ス業」,および50
回以上に「公務」との関連がみられた。2005
年の分析で再発の傾向があったのは,「建設業」,「電気・ガス業」,「情報・通信」,「金融・保険業」であったが,今回「公務」と「倉庫・
運輸関連業」が新たに加わり,「情報・通信」の傾向が弱まったことになる。
「倉庫・運輸関連業」に再発の傾向が強まったのは,
2007
年の郵政民営化により郵便局の郵便部門 が郵便事業(株)となり,「公務」から「倉庫・運輸関連業」と変更になったことなどが,2005
年と異 なる結果となったと思われる。また,ネットショッピングなどの購買方法の変化に伴い,輸送に関わ る「倉庫・運輸関連業」の重要性が増したことが,逆に再発の傾向を強くする原因となっていること も考えられる。「公務」は,
1
回のインシデントで漏洩する情報数は少ないが,繰り返し起こす傾向があることが 明らかになった。7.
おわりに以上のように,インシデントにおける業種による傾向が得られた。漏洩情報数が多い傾向にある業 種は,「金融・保険業」と「倉庫・運輸関連業」であり,事故の再発の傾向があった業種は,「公務」,
「建設業」,「倉庫・運輸関連業」,「電気・ガス業」,「金融・保険業」であった。大量の個人情報漏洩 と事故の再発の両方の傾向がある業種は,「金融・保険業」と「倉庫・運輸関連業」であった。「倉庫・
運輸関連業」が扱う個人情報のほとんどは基本情報であるが,主に信用情報を扱う「金融・保険業」
は,特に注意すべき業種であることが明らかになった。
「公務」が適用される法律は,行政機関個人情報保護法,独立行政法人等個人情報保護法,あるい は地方公共団体の条例であり,「企業」は個人情報保護法の適用となる。個人情報保護法については,
個人情報漏洩が深刻なプライバシー侵害につながりかねない業種に対して重点的な対応をすることが 必要であるとして,医療,金融・信用,情報通信分野における個別法制定が強く主張されてきた5。 本分析から業種による傾向があることが明らかになったことにより,業種による違いを認識し,特に 金融・信用分野に重点的な対応をする必要性が示唆される。「医療機関」は個人情報漏洩の
80.6
%が「センシティブ情報」であったことからも,慎重に取り扱うべき分野である。しかも,病院などの医 療機関は国公私立すべての場合があるにも関わらず,私立の医療機関だけが個人情報保護法の適用と なり,国公立のものは行政機関個人情報保護法,独立行政法人等個人情報保護法,あるいは地方公共 団体の条例に従うことになる。こうした複雑さを回避しセンシティブ情報の取り扱いを慎重にするた めにも,設立母体ではなく業種による個別対応ができる方式が望ましいと考える。なお,
2005
年および本分析からも「情報・通信」は特徴が引き出されなかった。今日では情報通信の業種以外でも情 報化が進み,個人情報を取り扱うことから,明らかな傾向が見出せなかったと考えることができるだ ろう。
12
年間の個人情報漏洩インシデントの内容を詳細にみてみると,大多数はヒューマンエラーによ るもので,意図的な不正の割合は低い。しかし,意図的に起こされた事件は,本分析からも漏洩情報 数が大きいことが分かっており,たった1
回発生するだけで企業の存亡を脅かすような重大な事件に 発展する危険性を含んでいる。しかも情報セキュリティの脅威の進化は非常に速く,最近はこれまで の「情報を盗み出す」攻撃から,「システムおよびシステムによって制御されている運営本体に損害 を与える」攻撃へとシフトしてきている。例を挙げると,
2011
年は,4
月に(株)ソニーのゲーム機「プレイステーション」向けネットワー クサービスがサイバー攻撃を受け大規模な個人情報の流出が起きた。9
月以降,三菱重工業(株)や衆 議院・参議院がサイバー攻撃を受け,重要な機密情報の窃取を意図したものと想定される標的型攻撃 の脅威が顕在化した6。これらには,国際的ハッカー集団「アノニマス」が関与していたとされる。この攻撃は,標的型攻撃メールにより送付されたコンピューターウイルスがシステム内部に侵入し,
スパイ活動をすることで,システム内部の組織情報や個人情報を抜き取るものである。攻撃の事実や 被害に気付きにくいことや,ネットワーク内部に侵入したウイルスが,外部の攻撃者と通信を行いな がら攻撃を加えるなどの特徴がある。
2012
年には,「遠隔操作ウイルス」,また「なりすましウイルス」とも呼ばれるウイルスにより,パソコンの持ち主の知らない間に,そのパソコンを踏み台として犯行予告や脅迫メールの書き込みな どの犯罪が遠隔操作で行われ,本来は被害者であるパソコンの持ち主が,加害者として誤認逮捕され た事例が複数確認され,大きな問題となった。
10
月には,国際的ハッカー集団「ゴーストシェル」が,東大,京大,東北大,名古屋大,大阪市立大を含む世界有力
100
大学にサイバー攻撃を行い個人情報 を抜き取ったとの声明を出した事件も発生している。また,銀行のインターネットバンキングのホー ムページで,顧客の暗証番号や本人確認の合言葉などの入力を求める不正な画面が表示され,これら の情報を窃取しようとする新たな手口の犯行が発生している。さらに,スマートフォンなどを狙った マルウェアの増加など,枚挙に暇がない。このような新たなリスクが急激に表面化しつつあり,利用者の不安を煽っている。事業者は,サイ バー攻撃を受けたとしても,被害者でなく個人情報を漏洩させた加害者となることから,進化し続け る情報セキュリティの脅威との闘いに,常に新たな対応を迫られているのである。これまでのような
「盗み出す」攻撃を行う「人」に対する事業者ごとの対策では,巧妙な遠隔操作ウイルスや国際的ハッ カー集団によるサイバー攻撃などに対して到底太刀打ちできない。官民が連携し一体となった対策の 強化,さらには国際連携を深める対策を喫緊の課題とすべきだろう。
個人情報保護法が施行されてから
8
年目となった。この間の個人情報漏洩の実態は前述のとおり で,ICT
の進化も情報セキュリティの脅威の変化も激しい。EU
では,第1
章で述べたとおり,デー タ保護制度を厳格にする「EU
データ保護規則」を提案している。また,プライバシー情報の扱いに 対照的な考え方を示す米国も,2
月に「消費者プライバシー権利章典」を公表したことを受け,EU
と米国は意見調整を行い3
月に共同声明を発表した。しかし日本は,いまだ第三国十分性レベルの認定も受けておらず,
EU
および米国と同等の立場に立っていない状態である。EU
と米国の原則が個人情報保護の世界的潮流となっていることを勘案し,第三国十分性レベルが 認定されない理由である「事業者に課す具体的な原則」と「独立監視機関の設置」の検討に対する結 論を出す時期に来ているのではないだろうか。同時に,これまでの個人情報漏洩の実態や国民の過剰 反応などの経緯を踏まえ,個人情報保護法に対する様々な意見,および指摘されてきた問題点を解決 するより良い方策を目指すために,個人情報保護法改定の準備を始める必要があるのではないだろう か。前述したように,設立母体ではなく業種を基本とし,きめ細かい取り扱いを可能とする個別の法 律への改善,もしくはEU
加盟国のように,一つの法律で公的部門と民間部門の双方を対象とした上 で,さらに慎重に情報を取り扱わなければならない,特に医療と金融・信用分野への個別対応ができ る方式が望ましいと考える。重点的に個人情報を保護する必要のある業種が明らかになり,サイバー攻撃などに対して国と事業 者が連携して対策を強化することにより,国民は個人情報の提供に対して過度に慎重になる必要がな くなるのではないだろうか。
このように年々新たな脅威が発生し,
2005
年と2011
年まででは個人情報漏洩の内容も変化してい る。ICT
のスピードに遅れることなく今後も引き続き,個人情報漏洩の実態および情報セキュリティ の動向について実証研究を積み重ねて行きたい。註
1 総務省(2012)
2『特集ビッグデータ』,Nextcom Vol. 12,(株)KDDI総研,2012
3 一般社団法人電子情報技術産業協会(2012),p. 22, p. 87
4 櫻井・三友(2007)
5 日本弁護士連合会(2001)
6(独)情報処理推進機構(2012‒1)を参照
参考文献・論文
石井夏生利,「EUデータ保護規則提案と消費者プライバシー権利章典」,『Nextcom』Vol. 10, pp. 30‒37, 2012
一般社団法人電子情報技術産業協会「EUデータ保護指令改定に関する調査・分析報告書」,2012,http://www.i-ise.com/jp/report/
EUdata_protection.pdf
NPO日本ネットワークセキュリティ協会,「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」,
2012, http://www.jnsa.org/result/incident/data/2011incident_survey_ver1.0.pdf
大谷尚通,「個人情報漏えいインシデントを減らすためには」,JNSA Press 第27号,2009, pp. 2‒8, http://www.jnsa.org/jnsapress/
vol27/2_tokusyu.pdf
岡田 定,「個人情報の安全性をめぐる諸問題」,経営情報研究 : 摂南大学経営情報学部論集5 (2),107‒121, 1998‒02. http://ci.
nii.ac.jp/els/110000977395.pdf?id=ART0001149268&type=pdf&lang=jp&host=cinii&order_no=&ppv_type=0&lang_sw
=&no=1352170436&cp=
櫻井直子,『情報セキュリティ価値と評価―消費者が考える個人情報の値段―』,文眞堂,2011
櫻井直子・三友仁志,「個人情報漏えい事故における業種別傾向の抽出に関する研究」,『公益事業研究』第58巻第4号,pp. 53‒ 62, 2007
(独)情報処理推進機構,「クラウドコンピューティングの社会インフラとしての特性と緊急時対応における課題に関する調査結果 について」,2012‒2, http://www.ipa.go.jp/security/fy23/reports/cloud/cloud-emergency-repeort-2012.pdf
(独)情報処理推進機構,「2012年度版10大脅威〜変化・増大する脅威!〜」,2012‒1, http://www.ipa.go.jp/security/vuln/documents/
10threats2012.pdf
総務省,『平成24年度版情報通信白書』,2012,http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h24/pdf/index.html
内閣官房情報セキュリティセンター,「情報セキュリティ2011」,情報セキュリティ政策会議,2011,http://www.nisc.go.jp/active/
kihon/pdf/js2011.pdf
内閣府消費者庁,「平成23年度個人情報の保護に関する法律施行状況の概要」,2012, http://www.caa.go.jp/seikatsu/kojin/23-sekou.pdf 内閣府消費者庁,「国際移転における企業の個人データ保護措置調査報告書」,2010, http://www.caa.go.jp/seikatsu/kojin/H21report1a.
長久浩三,「サイバー攻撃の脅威とセキュリティ対策」,JNSA Press 第33号,2012, pp. 30‒34, http://www.jnsa.org/jnsapress/
vol33/3_kikou2.pdf
日本弁護士連合会,「個人情報の保護に関する法律(案)に対する意見書」,2001, http://www.nichibenren.or.jp/ja/opinion/report/
2001_15.html
原田良雄,「個人情報漏えいの事例分析と対策についての一検討」,大阪産業大学経営論集13 (2/3),181‒195, 2012‒06, http://
ci.nii.ac.jp/els/110009464331.pdf?id=ART0009935216&type=pdf&lang=jp&host=cinii&order_no=&ppv_type=0&lang_
sw=&no=1352170913&cp=
松本 泰・伊藤忠彦,「暗号技術による個人情報保護の制度と技術の動向」,JNSA Press 第34号,2012, pp. 3‒11, http://www.jnsa.
org/jnsapress/vol34/3_kikou.pdf
安井良介他,「ブログにおける個人情報漏えいレベルの定量化」,情報処理学会研究報告.EIP,[電子化知的財産・社会基盤]2009
(11),9‒16, 2009‒02‒06, http://ci.nii.ac.jp/els/110007131385.pdf?id=ART0009076412&type=pdf&lang=jp&host= cinii&order_no=&ppv_type=0&lang_sw=&no=1352171458&cp=
その他参考
大阪府大阪市http://www.city.osaka.lg.jp/hodoshiryo/0-Curr.html
大阪市政策企画室市民情報部,「個人情報の適切な取扱いについて」,http://www.city.osaka.lg.jp/templates/chonaikaigi/cmsfiles/
contents/0000174/174480/5.pdf
大阪市政策企画室市民情報部,「個人情報漏えい事故等防止対策の策定に向けて」,http://www.city.osaka.lg.jp/seisakukikakushitsu/
page/0000094863.html
個人情報ニュース,http://jtrustc.co.jp/pnews/readnews.php?logno=201012 証券コード協議会,http://www.tse.or.jp/sicc/category/ct_chart.html