Langley のサイバーノーガード日記情報漏えいの損害賠償額をどう推定するか（1）

　特定非営利活動法人日本ネットワークセキュリティ協会による「2008年情報セキュリティインシデントに関する調査報告書」が発表された。筆者は同報告書の昨年版についても分析記事を寄稿したが、2008年度版も目を通してみた。

2008年情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2008/surv/incident/
個人情報漏えいの損害賠償は恐い？
https://www.netsecurity.ne.jp/7_12464.html

●2008年度の傾向

　この報告書によれば、2008年度のインシデントには、おおまかに下記のような傾向が見られたという。

1）漏えい件数は、2007年度に対して2008年度は1,373件とプラス509件だった

2）漏えい人数は、2007年度の3,053万1,004人から、大幅減少の723万2,763人だった。その理由は百万人を越える大規模漏えいがなかったためとしている
3）突発的に発生する大規模インシデントで漏えい人数や損害賠償金額などは大きく変化する。そのため、経年の傾向をとらえにくい。と、書いてあるが、それは後述のように明らかにおかしい。やり方が悪いからそうなっているだけで、経年変化を見たいのであれば、その方法はある

4）漏えい原因では、「誤操作」「管理ミス」の件数が増加した

　これだけ見ると、それなりに傾向がわかって役に立ちそうな気がしないでもない。しかし、見かけに騙されてはいけない。問題点満載なのであるが、そのうち大きなものを紹介する。

●理解不能な損害賠償金額の計算〜セキュリティ予算奪取のための計算方法？

　この報告書の一番のウリは、独自の損害賠償金額の推定のようである。独自の計算方法で、実際には損害賠償金の発生していないようなものにも金額を計算して積み上げているのである。推定というよりは、フィクションであると筆者は思う。

　「4　2008年想定損害賠償額の算定結果」という章に、その計算方法と結果の詳細が掲載されている。中でも、特筆すべきは、36ページにある「【一人あたりの平均想定損害賠償額について】」である。まずは、報告書に記載されている平均値の計算方法をご覧いただきたい。

　2つのインシデントがあって、片方は賠償対象者1名で金額は100万円、したがって賠償総額も100万円。もう一方は、賠償対象者が100名で1件あたり1万円、損害賠償金額は100万円となる。

　普通の平均値の計算方法では、合計金額を合計人数で割るので、1.98万円となる。

　（100万円＋100万円）÷（1人＋100人）＝1.98万円

　これに対して、この報告書で採用している計算では、1件あたりの金額の平均値で計算している。つまり、

　（100万円＋1万円）÷2件＝50.5万円

である。

　これだけだとピンとこない方もいらっしゃると思うので、筆者が別の例を考えてみた。損害賠償金額というとわかりにくいが、ボーナスとか給料とか、身近なものに置き換えて見るとその差がわかる。

【例】ポテトチップの1袋あたり平均価格

特別なプレミアムポテトチップ
──┬───────
個数│1袋
金額│1袋あたり1万円
──┴───────

普通のポテトチップ
──┬───────
個数│100袋
金額│1袋あたり100円
──┴───────

◆この報告書の平均計算方式によるポテトチップの平均価格
（1万円＋100円）÷2袋＝5,050円

◆普通の平均計算方式によるポテトチップの平均価格
（1万円×1袋＋100円×100袋）÷（1袋＋100袋）＝198円

　約5,000円と約200円。全然違う。同じ平均値、しかも、同じ1袋あたりの平均価格で、ここまで違うというのは、誤差とかそういう問題ではない。明らかにどちらかがおかしいのである。

　ちなみに一般的には後者の「合計金額÷合計数」の計算方法を使う。いや、というか、平均値の平均値を取るというのは、数値としてブレが大きくなるから、やらないことになっている。

　この報告書では、この数値を…(次回につづく)

【執筆：Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec