ネットワークセキュリティの要諦

外部委託し続けていいのか-- 個人情報保護法と3つの情報漏えいパターン

三輪 賢一(パロアルトネットワークス)

2014-08-29 07:30

 前回の連載で外部委託会社や契約社員による大規模情報流出事件について触れました。今回は改めて最近の事件を振り返るとともに、日本での情報漏えいによる損害や個人情報保護法、対策をとる前に知るべき情報漏えいのパターンについて詳しく解説していきます。

国内大手教育事業者による情報漏えいと韓国のケース

 7月9日、国内の大手教育事業者から顧客情報760万件が漏えいしたと発表がありました。その後の調査で、この業者からの漏えい件数は2300万件まで増えたと報道されています。

 この事件を受けて、われわれの顧客から内部情報漏えいについてどのような対策が有効であるか質問を受けることが多くなりました。この事件に限らず、ここ1年を振り返ると大規模な個人情報漏えい事件が頻発しています。

 1月に韓国のクレジットカード会社3社から延べ1億人分、クレジットカードを使っているほとんどの韓国人の個人情報が漏れてしまうという事件がありました。不正使用検知システムの構築を担当したセキュリティ会社の社員が顧客の個人情報を盗み、ブローカーに売却していました。これにより、社長を含む多数の取締役が辞任に追い込まれました。

 韓国では2009年に個人情報保護法が施行されましたが、漏えい事件が相次いだため、事故発生時の責任を明確化するという改正が2011年に行われました。さらに今年8月からは、対策が実施されたとしても事故が起きたら最高経営責任者(CEO)を含む管理責任者に懲戒や更迭を含むペナルティが科されるようになります。

 現在韓国では、金融委員会が金融機関向けにIT予算の7%をセキュリティ対策費用として計上し、社員の5%をセキュリティ対策部署要員とすることを定めています。

日本の企業にとっても軽視できない情報漏えい

 情報漏えい事故に関して、日本では韓国ほどの明確なルールやペナルティはまだありません。しかし日本でも、2005年に個人情報保護法が施行されていますし、今回の教育企業の事件をきっかけに官房長官から個人情報保護法の改正を検討する必要があるとの発言もありました。

 情報漏えいは企業の存亡を左右する時代になっています。日本ネットワークセキュリティ協会の調査によると、2012年のインシデント1件あたりの平均漏えい人数は4245人で、想定損害賠償額を1人あたり4万5000円弱、1件あたり9313万円の平均損害賠償額を見積もっています。

 実際の損害賠償額としては、京都府宇治市の住民票データが漏えいした事件で1人あたり1万5000円の賠償金が最高裁で確定しており、エステ大手企業が個人情報を漏えいした事件では1人あたり3万5000円を支払うよう東京地裁から命じられました。損害賠償だけでなく、信用毀損による売り上げや株価の下落、幹部の辞任など企業にとってさまざまなダメージをもたらします。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]