頻発する情報漏えい事件　その原因と対策（2）

（３）被害？

　漏洩による被害は大きい。これまでのところ、さすがに民事訴訟（損害賠償請求）などが直にくることは無いようだが、それでもコンビニエンスストアの事例のように1件あたり1000円などの補償金？を数十万人にいっせいに支払う場合、その支払いだけで数十億円が一気に吹っ飛んでしまう。さらにその上に同様の被害を繰り返さないようにするための仕掛け、仕組みを入れると追加で10億くらいは平気でかかってしまう。

　これまで最大規模の漏洩件数となったYahoo!BBのケースでは漏洩1件あたり500円で23億、さらに別途セキュリティ強化のために予算を組み、合わせて40億以上と報道されている。一方で判例として出ている（まだ係争中）京都府宇治市の場合、漏洩一件あたり賠償は1万円（裁判費用5000円という冗談のような数字がこれに付加されて、それで15000円）だ。京都府宇治市の場合、損害賠償請求を起こしたのは市議3人でしかないため、市が払ったとして45000円にしかならないわけだが、判例として出ている金額とローソンが先鞭をつけた500円とでは大きな開きがある。仮にそのギャップを、高いほうに合わせて埋めるべき、となるとどうだろうか？5000円としてYahoo!BBの場合230億円、10000円ならば460億円ということになる（いざ漏洩させてしまうと460億円もの価値を持つかも知れないデータを取り扱っているという意識が、果たして管理側にはあるのだろうか？）。

　ちなみに、京都府宇治市に近い計算モデルとしては、日本ネットワークセキュリティ協会（JNSA）の被害調査WGによる試算モデルがある。これは「被害者に対する慰謝料」（注：これは例えばこのような形で設定する。基本的な個人情報＝100、特徴的な個人情報（3種類以下）＝500、特徴的な個人情報（4種類以上）＝1000）と「個人情報提供の同意の有無」、「情報提供者との関係」、「情報漏洩元組織の社会的信頼度」、そして「事件後の対応姿勢」などの要素をかけあわせて漏洩1件あたりの補償金額を試算するもので、最大で24000円になる。（ http://www.jnsa.org/active1a.html ）24000円となると、Yahoo!BBの場合で1200億弱。これだけ支払える組織なんてきわめて少数しか存在しないだろう。

　取り扱う情報の件数にもよるが、20万件のユーザーデータを集める場合、1000円で2億、10000円で20億という数字は最大リスクとしてどこかで意識すべきだろう。（意識すれば、たかが数百万からのセキュリティ対策予算をケチることもないはずだ）

　同じJNSAの報告書の中には、株価の下落分の損についても提案がなされている。試算式は2種類あり、
影響額（1）＝自社株価×（0〜9％）×発行株数
影響額（2）＝6〜9円×発行株数

というものだ。下落のパーセンテージ、金額は、市場の総体変動分を考慮して抽出されている。

　あるいは、業務停止分の損失を、年間売上高／365×停止日数で出すという考え方もある。ジャパネットたかたの例で言えば、漏洩発覚時点で全業務を停止、原因究明に努めている（2004年4月下旬現在、停止期間47日間。2004年4月25日より再開予定）。この間の業務停止による被害金額は700億円*1.5/12=87.5億円であった。

【執筆：園田道夫】

◇参考：
　頻発する情報漏えい事件　その原因と対策【第1回】(2004.6.23)
https://www.netsecurity.ne.jp/article/3/13369.html

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec