緊急アンケート〜セキュリティ管理者に聞く　2005年に起こった主な情報漏洩事件の認知度と対応

〜価格.com、米カード会社事件　80%以上が事後対応が不適切と評価〜

2005年は4月から個人情報保護法が施行されたにも関わらず、各種情報漏洩事件が新聞紙上を騒がせ続けた。そこで、企業のセキュリティ管理者が主な購読者層である「Scan Security Management」誌において緊急アンケートを行い、2005年に起こった主な情報漏洩事件の認知度、企業側の対応について聞くことにした。結果は以下の通りである。

【アンケート：12月8日〜22日に「Scan Security Management」読者を対象に実施、母数は92。皆様のご協力、ありがとうございました】

取り上げた事件は、
『みずほ銀行やUFJ銀行を騙るフィッシングメール
（2005年3月 https://www.netsecurity.ne.jp/1_2010.html ）』
『「価格.com」不正アクセス・サイト閉鎖
（2005年5月 https://www.netsecurity.ne.jp/1_2769.html ）』
『女性サイト「OZmall」不正アクセス・サイト閉鎖
（2005年5月 https://www.netsecurity.ne.jp/1_2960.html ）』
『「米マスターカード」4,000万件以上の個人情報流出
（2005年6月 https://www.netsecurity.ne.jp/1_3254.html ）』
『楽天市場店舗「AMC」36,239件の個人情報流出
（2005年7月 https://www.netsecurity.ne.jp/1_3710.html ）』
『三菱重工業の協力会社、技術者の個人PCからWinnyで原発情報流出
（2005年8月 https://www.netsecurity.ne.jp/1_4113.html ）』
の6つである。それぞれの事件についてどれだけ知っているか、また、事後の
企業側の対応についてどう思うかを尋ねた。

>>「価格.com」「米カード」事件の認知度が高い

寄せられた回答は、さすがにセキュリティ管理者のものらしく、ほとんどの事件について何らかのかたちで知っていると答えている。中でも特に関心の高かったものは、「価格.com」「米カード」事件で、内容について「非常に詳しく知っている」「やや詳しく知っている」との回答が合わせて過半数（それぞれ59.8%、53.3%）を占めた。

長きにわたってサイトが運営停止状態に追い込まれた「価格.com」、4000万件という空前の規模の情報流出となった「米カード」事件は企業、顧客ともに大きな被害を受けたこともあり、セキュリティ管理者にも高い関心を呼んだようだ。

逆に認知度がいまひとつだったのは、「Ozmall」事件で、「非常に詳しく」「やや詳しく」は合わせて26.1%にとどまり、「知らない」という答えが25%にも及んだ。事件自体は不正アクセスを許した上にサイト内容を改ざんされるという深刻なものだったが、出版社による女性読者向けサイトということもありメディアの扱いも小さく、知名度の点で関心が低くなったものと思われる。

>>対応についての評価が厳しいのも「価格.com」「米カード」などの事件
>>80%以上が事後対応が不適切と評価

続いて事件発生後の企業側の対応についてだが、どの事件でも厳しい評価が並んだ。「適切だったと思う」の合計が「不適切」を上回ったのは「フィッシングメール」事件だけであり、これとて最も多かった回答は「どちらとも言えない」（51.1%）だった。

直接は企業のセキュリティ面に責任がない詐欺事件であったことが、「甘い」評価に繋がったのかもしれない。そして最も悪い評価を受けたのが「価格.com」事件で、「やや不適切だったと思う」「非常に不適切だったと思う」の合計が実に56.5%と散々なものであった。

事件後の社長による「過失はない」発言や、攻撃を受けてからの情報公開の遅れ、サイト復旧までかなり時間がかかったこと、などが厳しい評価を受けた原因だろう。以下、「米カード」（45.6%）、「AMC」（37%）が続いた。いずれも企業の危機管理能力に疑問が残る事件であった。

総じていえることは、情報漏洩事件を起こした企業に向けられる目はやはり厳しい、ということである。セキュリティ管理者としての立場から考えれば、「事件を未然に防ぐ」のが当たり前であって、事が起こったあとでに適切な処理を行うのは企業としての最低限の義務であり、もはや評価する対象ではないという思いがこの結果に表れているのではないだろうか。

http://ns-research.jp/press/5650.html