4.情報漏洩における損害賠償について

情報漏洩を防ごうとする企業の意識は年々高まっていると言えます。企業にとって、情報漏洩が発生してしまった際のリスクは多大なものであり、築き上げてきた社会的信用をすべて失いかねないからです。

万が一、個人情報を漏洩してしまった場合、企業は個人に対して損害賠償を支払わなくてはなりません。今回は、情報漏洩の際の損害賠償の想定額についての算出方法をご説明します。

参考:JNSA2012 年情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.1.pdf

想定損害賠償額の算出方法

想定損害賠償額を算出する目的は、個人情報を取り扱う企業が常に抱えるリスクを具体的に把握することにあります。万が一の場合に発生する費用の試算ですので、実際に請求される損害賠償額とは異なります。

今回は日本ネットワークセキュリティ協会が考案している損害賠償の想定金額の算出式をご紹介します。算出方法は下記になります。

1つずつ項目をご紹介していきます。

基礎情報価値

情報の種類に関わらず、定数で 一律500 ポイントとなるものです。

機微情報度

個人情報全体を3段階のレベルに分け、x (経済的損失)の最大値および 、y(精神的苦痛) の最大値を選び、10 の(x – 1)乗に 5 の(y – 1)乗を加えた結果を指します。

経済的損失は、レベル1が「氏名,住所,生年月日」、レベル2が「パスポート情報」、レベル3では「口座番号&暗証番号」と損失を分類します。

精神的苦痛は、レベル1が「氏名,住所,生年月日などの流出」、レベル2が「性格判断、手術歴,看護記録」、レベル3では「政治的見解、宗教、信仰」が分類されます。

本人特定容易度

個人情報の漏洩から、本人の特定のしやすさを表すものが本人特定容易度です。個人を簡単に特定可能な場合は6ポイント、コストをかければ個人が特定できる場合は3ポイント、特定が困難な場合は1ポイントと分類されます。

情報漏洩元組織の社会的責任度

社会的責任度は、判定基準が一般より高い(個人情報の適正な取り扱いを確保すべき個別分野の業種(医療、金融・信用、情報通信など)および公的機関、知名度の高い大企業)は2ポイント。
一般(一般的な企業および団体、組織)が1ポイントと分類します。

事後対応評価

事後対応評価は、適切な対応(すばやい対応など)ができていたら1ポイント、不適切な対応(指摘されても放置したまま)であれば、2ポイント、不明・その他の場合は、1ポイントとしています。

ここで、算出方法の1例として、住所氏名および口座番号のみが漏洩した場合の算出方法をご紹介します。

「住民番号、氏名」等の漏洩は、精神的苦痛・経済的損失ともにレベル1です。そのため、機微情報度は下記となります。

本人特定容易度は、氏名と住所がセットで漏洩しているので、6 ポイント。
社会的責任度については、自治体と仮定すると公的機関なので、2 ポイント。
事後対応評価については、素早い対応を行ったとすると、1 ポイント。

これを 損害賠償の額算出式に当てはめると

500 × 2 × 6 × 2 × 1 = 12,000 (ポイント)

となります。

よって、今回の場合は、1 万 2,000 円の賠償額が想定されます。これはあくまで、一人あたりの損害賠償額なので、漏洩したデータが1万件ある場合、1万2,000 円×1万件=1億2000万円が想定損害賠償額になります。

まとめ

個人の想定損害賠償額の推移を見てみると、ここ数年、一人あたりの平均賠償額は5万円程度で大きな変化はありません。また、一件あたりの平均賠償額に関して言えば、年々、減少傾向にあります。

しかし、企業一件あたりの損害賠償額分布を見てみると「100万円以上」の割合が大幅に増加しており、実際に漏洩事件を起こしてしまった場合の企業の負担は増加傾向にあるようです。そのため、企業の情報漏洩対策は今後より重要になっていくと考えられます。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?