2009年情報セキュリティインシデントに関する調 …...3 3...

© Copyright 2010 NPO Japan Network Security Association (JNSA)

２００９年

情報セキュリティインシデントに関する

調査報告書

第 1.1 版

2010 年 7 月 1日

2010 年 9 月 2日改訂

NPO 日本ネットワークセキュリティ協会

セキュリティ被害調査ワーキンググループ


i

目次

1 はじめに .............................................................................................................................. 1

2 報告書について ................................................................................................................... 1

2.1 報告書の目的 .................................................................................................................. 1 2.2 報告書の構成 .................................................................................................................. 2 2.3 調査・分析方法 .............................................................................................................. 2

3 2009年の個人情報漏えいインシデントの分析結果 ............................................................ 3

3.1 概要 ................................................................................................................................ 3 3.2 個人情報漏えいインシデント・トップ 10 ..................................................................... 4 3.3 業種 ................................................................................................................................ 5 3.4 原因 .............................................................................................................................. 12 3.5 漏えい媒体・経路 ........................................................................................................ 18 3.6 漏えい規模 ................................................................................................................... 24 3.7 漏えい情報の価値 ........................................................................................................ 28 3.8 経年分析 ....................................................................................................................... 34

4 2009年想定損害賠償額の算定結果 ................................................................................. 36

4.1 想定損害賠償総額 ........................................................................................................ 36 4.2 一人あたりの想定損害賠償額 ...................................................................................... 37 4.3 一件あたりの想定損害賠償額 ...................................................................................... 41 4.4 想定損害賠償額の総括 ................................................................................................. 44

5 個人情報漏えいにおける想定損害賠償額の算出モデル .................................................... 45

5.1 想定損害賠償額の算出の目的 ...................................................................................... 45 5.2 想定損害賠償額算定式の解説 ...................................................................................... 45

5.2.1 想定損害賠償額算定式の策定プロセス ................................................................ 46 5.2.2 算定式の入力値の解説 .......................................................................................... 47 5.2.3 想定損害賠償額算出式 .......................................................................................... 52

6 最後に ............................................................................................................................... 53

6.1 2009年インシデントの特徴 ........................................................................................ 53 6.2 まとめ ........................................................................................................................... 55

7 お問い合わせ先 ................................................................................................................. 61

8 【付録 1】漏えい原因の定義.........................................................................................付録 1-1

ii

9 【付録 3】インシデント一覧表 ...............................................................................付録 2-1

9.1 2009年個人情報漏えい事件・事故（表Ａ） .................................................... 付録 2-1

9.2 2009年個人情報漏えいによる想定損害賠償額（表Ｂ） ................................ 付録 2-34


JNSA 調査研究部会セキュリティ被害調査ワーキンググループワーキンググループリーダー大谷尚通株式会社 NTT データメンバー井口洋輔株式会社損保ジャパン・リスクマネジメント猪俣朗トレンドマイクロ株式会社大溝裕則株式会社 JMC 岡本一郎株式会社インフォセック佳山こうせつ富士通株式会社菊谷広ドコモ・システムズ株式会社北野晴人日本オラクル株式会社佐藤友治株式会社ブロードバンドセキュリティ佐藤康彦マイクロソフト株式会社清野豪日本オラクル株式会社田中洋株式会社インフォセック馬鳥雄也日本オラクル株式会社広口正之リコー・ヒューマン・クリエイツ株式会社丸山司郎株式会社ラック山田英史株式会社ディアイティ吉川信雄富士通株式会社吉田哲也兼松エレクトロニクス株式会社吉田裕美株式会社ラック著作権・引用について

本報告書は、NPO 日本ネットワークセキュリティ協会(JNSA) セキュリティ被害調査ワーキンググループが作成したものである。著作権は当該 NPO に属するが、本報告書は公開情報として提供される。ただし、全文、一部にかかわらず引用される場合は、

「（引用）JNSA 2009年情報セキュリティインシデントに関する調査報告書」と記述して欲しい。なお、報告書の文書を改変して使用する、あるいは報告書内の集計データ

を独自に再編して新たなグラフを作成するなど、報告書内の情報を加工して使用する場

合は「引用」ではなく「参考」と表記していただきたい。また、書籍、雑誌、セミナー資料などに引用される場合は、JNSAのホームページ上にある問い合わせフォームをご利用ください。


1

1 はじめに JNSA セキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故（以降「インシデント」という）の調査分析は今回で 8回目となる。2008年と同様に2009年も 2003年に確立した調査方法を踏襲した。

JNSA セキュリティ被害調査ワーキンググループでは、2008年と同様に、これまでの調査方法を踏襲し、2009年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント（以下、インシデントという）の情報を集計し、分析を行った。この調査データにもとづいた、漏えいした組織の業種、漏えい人数、漏えい原因、漏

えい経路などの情報の分類、JOモデル（JNSA Damage Operation Model for Individual Information Leak）を用いた想定損害賠償額などを分析した結果を報告書にまとめた。このような結果をもたらした原因分析も含め、以下に 2009年のインシデントの集計・分析結果、及び過去５年間の蓄積されたデータを元にした経年変化の分析結果を報告す

る。

2 報告書について

2.1 報告書の目的本報告書は、2009年一年間に報道されたインシデントを調査・分析し、独自の観点から評価した結果である。個人情報は個人情報保護法により保護を義務付けられた情報資産であり、個人情報漏

えいは企業の経営者や組織の責任者が認知すべきリスクのひとつである。当ワーキンググループでは、インシデントにおける「損害賠償の可能性」について、

今後の議論の題材になることや、企業経営者が考えるべき情報セキュリティのリスク量

の把握や、適切な情報セキュリティに対する投資判断の一助となることを目的として、

検討、及び提案を行う。


2

2.2 報告書の構成本報告書の本編は、さまざまな個人情報漏えいのインシデントを分析した「第 3章

2009年の個人情報漏えいインシデントの分析結果」「第 4章 2009年想定損害賠償額の算定結果」と、個人情報漏えいによる想定損害賠償を算出するモデルを解説した「第

5章個人情報漏えいにおける想定損害賠償額の算出モデル」から構成される。「第 3章 2009年の個人情報漏えいインシデントの分析結果」では、2009年の単年の分析結果、8年間の蓄積されたデータのうち、直近 5年間のデータに基づく経年の分析結果の解説を行った。2002年から 2004年までのインシデント情報は公表件数が少なく、統計データとしては偏りが大きいため、2009年の分析では、これらを除外した。「第 4章 2009年想定損害賠償額の算定結果」では、想定損害賠償額の算定結果とその考察結果を解説した。2002年から 2009年までの 8年間の個人情報漏えいに関する数値は、新聞やインターネット上で報道された公開情報に基づいて、統計したものであ

る。一方、想定損害賠償額は、当ワーキンググループが独自に開発した算定手法に基づ

いて算出した推定データであることに注意されたい。また、2008年の報告書と同様に「インシデント一覧表」を付録とした。

2.3 調査・分析方法 2009年 1月 1日から 12月 31日の間に新聞やインターネットニュースなどで報道されたインシデントの記事、組織からリリースされたインシデントに関連した文書などを

もとにインシデントの情報を集計した。まず、収集した情報を元に、これまでと同様に

漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの分類・評価を行っ

た。次に、独自の算定式（JOモデル）を用いて、想定損害賠償額を算出した。本調査データは、インターネット上に公開されたインシデントに関する情報を手作業

で収集し、記事や文書に書かれた内容から、インシデントの分析に必要な情報を取得し

ている。よって、可能な限り多くの情報を収集するように努力しているが、公表された

全てのインシデントの記事を収集できていないことを了承されたい。また、この報告書

に対する読者の問い合わせに対応し、結果の一部が誤っていることが判明した場合には、

随時これを訂正している。報告書を利用する場合には、ホームページ上に公開されてい

る最新の報告書を利用していただきたい。


3

3 2009 年の個人情報漏えいインシデントの分析結果

3.1 概要 2008年から引き続き漏えい件数が増加し、1539件（＋166件）となり、過去最高の件数となった。これは、「金融業，保険業」において、全体的に漏えい件数が増加

したことによる。2009年も 2008年同様、ある自治体が積極的に情報漏えい事件を公表したことも影響している。漏えい人数は、約 572万人（－152万人）と、個人情報保護法施行後では、最も少なかった 2008年に引き続き、減少に転じた。これは、漏えい件数が増加する一方で、「漏えい人数が 10万人を超える大規模な個人情報漏えいインシデント」が、12件(－7件)と減少したことが大きく影響している。しかし、想定損害賠償総額は、3,890億 4,289万円(＋1,523億 1,760万円)と、大きく増加した。これは、損害賠償額を押し上げる要素である「口座番号」を所有す

る「金融業，保険業」の漏えいインシデントが増加していることに起因する。漏えい原因は、「管理ミス」の件数、及び比率が大きく増加し、2008年 1位であった「誤操作」に代わり、原因の 1位となった。

2009年の集計結果の概要データは、以下の通りである。

表 1：2009年個人情報漏えいインシデント概要データ

漏えい人数 572 万 1,498 人

インシデント件数 1,539 件

想定損害賠償総額 3,890 億 4,289 万円

一件あたりの漏えい人数※1 3,924 人

一件あたり平均想定損害賠償額※1 2 億 6,683 万円

一人あたり平均想定損害賠償額※2 4 万 9,961 円

※1：平均値は、被害者数が不明のインシデント 81件を除いて算出している。 ※2：この平均値は一件あたりのばらつきを吸収するため、まず、各インシデントの一人

あたりの想定損害賠償額を算出し、そこから全てのインシデントの一人あたりの想定損

害賠償額の平均額を算出している。よって、想定損害賠償総額を漏えい人数で割った値

ではないことに注意されたい。


4

3.2 個人情報漏えいインシデント・トップ 10 表 2に規模の大きいインシデント・トップ 10を示す。2008年は、漏えい人数が

100万人を超える大規模なインシデントは 1件も発生しなかったが、2009年は漏えい人数が 100万人を超える大規模なインシデントが 1件発生した。インシデント・トップ 10の業種は、2008年よりも業種に特徴があり、「金融業，保険業」「公務(他に分類されるものを除く)」が多い。「電気・ガス・熱供給・水道業」や「情報通信業」といった特に個人情報の適正な取り扱いを確保すべき業種からも

トップ 10に含まれるインシデントが発生している。原因に目を向けると、2008年と同様に「管理ミス」が登場する一方で、内部犯罪・内部不正行為や不正アクセスが増加した。

表 2：インシデント・トップ 10

No. 漏えい人数業種原因

1 148万 6651人金融業，保険業内部犯罪・内部不正行為2 50万 0000人金融業，保険業管理ミス 3 43万 5990人電気・ガス・熱供給・水道業管理ミス４ 35万 3605人情報通信業目的外使用５ 27万 3000人公務(他に分類されるものを除く) 管理ミス 6 19万 4294人サービス業(他に分類されないもの) 不正アクセス 7 15万 0783人卸売業，小売業不正アクセス 8 14万 8680人サービス業(他に分類されないもの) 不正アクセス 9 14万 0151人金融業，保険業管理ミス

10 14万 0000人公務(他に分類されるものを除く) 内部犯罪・内部不正行為


5

3.3 業種

(1) 単年分析（件数）

インシデント件数の多い業種は、上位から順に「金融業，保険業」(40.7%)、「公務」

(25.9%)、「教育，学習支援業」(5.3%)であり、全体の約 70%を占めている。「公務」及び「金融業，保険業」については、個人情報保護に関する行政の指導が

強く働いている業種であり、小規模なインシデントであっても公表することが多く、

過去 5年間、常に上位を占める結果となったと考えられる。インシデントが発生していないのは、全 19業種中、「農業、林業」「漁業」「鉱業，採石業，砂利採取業」の 3業種だけである。残る 15業種でインシデントが発生し、上位 10業種を合計すると全体の約 90%を超える。ほとんどの業種で個人情報を利用しており、ほとんどの業種にインシデント発生のリスクがあるという状況に変化は見られない。

図 1：業種別比率（件数）

金融業，保険業

626件40.7%

公務(他に分類されるものを除く)

398件25.9%

教育，学習支援業

81件5.3%

情報通信業

81件5.3%

サービス業(他に分類されないもの)

65件4.2%

医療，福祉

64件4.2%

卸売業，小売業

52件3.4%

複合サービス事業

40件2.6%

不動産業，物品賃

貸業

39件2.5%

電気・ガス・熱供給・

水道業

29件1.9%

製造業

23件1.5%

建設業

18件1.2%

宿泊業，飲食サービ

ス業

9件0.6%

運輸業，郵便業

8件0.5%

生活関連サービス

業，娯楽業

4件0.3%学術研究，専門・技

術サービス業

2件0.1%


6

(2) 経年分析（件数）

図 2は、業種別のインシデント件数を積み上げ棒グラフにしたものである。特徴的なのは「金融業，保険業」が大きな増加を示していることである。また 2008年まで増加傾向にあった「公務」、「教育，学習支援業」の件数が 2009年は減少に転じた。逆に「情報通信業」は、2006年をピークに若干減少傾向である。「公務」「教育，学習支援業」が増加傾向にあった一番大きな要因は、インシデン

トを公表するようになってきたこと、業務で PCや USBメモリなどの使用が増加していること、自治体などで臨時職員や派遣職員が増加しており、情報漏えいを防止

するための教育が浸透していないことなどが考えられた。しかしながら多くのイン

シデントが発生し報道されるようになったことから、特に管理する立場にある現場

職員の意識が少しずつ変化し、情報漏えい対策と教育が進捗し始めたことが増加に

歯止めをかけ、減少に転じた一因と考えられる。

図 2：業種別件数の経年変化（件数）

1件 6件 4件 2件11件 9件 6件 28件 18件49件 52件 37件 37件 23件66件 61件

32件 39件 29件

84件 108件98件 95件 81件

17件 6件10件

56件

8件

114件 70件65件

73件

52件

293件

136件131件

159件

626件

15件

36件49件

33件

39件2件

3件

6件11件

4件

9件4件

84件

108件88件

178件

81件

54件

42件73件

91件

64件

33件

52件32件

21件

40件

69件

98件

47件

88件

65件

139件

203件

181件

469件

398件

0件

200件

400件

600件

800件

1,000件

1,200件

1,400件

1,600件

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)




医療，福祉


生活関連サービス業，娯楽業

宿泊業，飲食サービス業

学術研究，専門・技術サービス業

不動産業，物品賃貸業




情報通信業

電気・ガス・熱供給・水道業

製造業

建設業


7

業種別インシデント件数の比率は、「公務」にかわって「金融業，保険業」が一番

多くなっているが、これは件数そのものが大幅に増加したことによる。また「公務」

は件数が減少したことに併せて全体に占める比率も 2009年は減少に転じており、2009年は 25.9%であった。2009年は、「公務」に次ぐ「教育，学習支援業」と「情報通信業」は同数・同率で 3位となった。「情報通信業」は 95件から 81件へと件数はわずかに減少しているだけであるが、他の業種の件数が増加したため、比率は

5.3％に減少した。

図 3：業種別比率の経年変化（件数）

0.1% 0.6% 0.5% 0.1%1.1% 0.9% 0.7% 2.0% 1.2%4.7% 5.2% 4.3% 2.7% 1.5%

6.4% 6.1%3.7% 2.8%

1.9%

8.1%10.9%

11.3%6.9%

5.3%

1.6%0.6%

1.2%

4.1%

0.5%

11.0% 7.0%7.5%

5.3%

3.4%

28.4%

13.7% 15.2%

11.6%40.7%

1.5%

3.6% 5.7%

2.4%

2.5% 0.1%

0.3%

0.6% 1.3%

0.3%

0.6%0.3%

8.1%

10.9% 10.2%

13.0%

5.3%

5.2%

4.2%8.4%

6.6%

4.2%

3.2%

5.2%

3.7%

1.5%

2.6%

6.7%

9.9% 5.4%

6.4%

4.2%

13.5%20.4% 20.9%

34.2%25.9%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)




医療，福祉









情報通信業


製造業

建設業


8

(3) 単年分析（人数）

個人情報漏えいインシデントの被害者数の多い業種は、上位から順に「金融業，保

険業」(57.8%)「公務」(10.8%)、「サービス業」(8.0%)であり、変化がみられた。この 3業種で全体の 4分の 3を占める。2009年は証券、保険といった業種で大規模なインシデントが複数発生したことや、地方の金融機関でも 1000件を超えるインシデントが多数報告されたことから、人数、割合ともに「金融業，保険業」が突出する

結果となった。「教育，学習支援業」は、図 1に示すように件数では全体の 5.3%を占めるが、図

4に示すように人数では 1.3%と少ない。これは、「教育，学習支援業」において扱う個人情報にクラス単位などが多く、他の業種のインシデントと比較して規模が小さ

いためであると考えられる。同様に、「医療，福祉」も、件数の比率が 4.2%であるのに対して、人数の比率はさらに少ない 1.3%である。逆に「卸売業，小売業」は、件数の比率が 3.4%であり、人数では 4.7%と 2008年に比べて割合が減少した。図 6に示すように「卸売業，小売業」は漏えい人数そのものがおよそ 4分の 1程度に大きく減少したことがその要因である。

図 4：業種別比率（人数）


3,308,488人57.8%

公務(他に分類されるものを除く)617,238人10.8%


458,357人8.0%

電気・ガス・熱供給・

水道業

450,192人7.9%

情報通信業

423,133人7.4%


267,649人4.7%

医療，福祉

72,581人1.3%


58,198人1.0%


24,625人0.4%

生活関連サービス

業，娯楽業

17,050人0.3%

宿泊業，飲食サービ

ス業

12,132人0.2%

製造業

5,683人0.1%

不動産業，物品賃

貸業

2,256人0.0%


2,326人0.0%

建設業

1,003人0.0%

学術研究，専門・技

術サービス業

587人0.0%


9

インシデント一件あたりの漏えい人数（平均人数）の上位 3業種は、「電気・ガス・熱供給・水道業」（約 1.7万人）、「生活関連サービス業，娯楽業」(約 8,500人)、「サービス業」(約 8,300人)となっている。「電気・ガス・熱供給・水道業」については全体の件数が少なく、その中に漏えい人数が特に多いインシデントが一件含まれて

いたため、一件あたりの漏えい人数では突出した 1位となった。2位の「生活関連サービス業」については業種別発生件数が特に少なかったため一件あたりの人数が増

える結果となった。 2009年に大規模なインシデントが複数発生した「金融業，保険業」は件数も多かったため、一件あたりの値は上位ではるものの、上記 3業種よりも少なかった。

図 5：業種別の一件あたりの漏えい人数

55.7人284.2人

16,673.8人

5,959.6人

332.3人

5,353.0人5,560.5人

59.4人293.5人

1,516.5人

8,525.0人

337.3人1,170.7人

1,492.3人

8,333.8人

1,578.6人

0人

2,000人

4,000人

6,000人

8,000人

10,000人

12,000人

14,000人

16,000人

農業，林業

漁業

鉱業，採石業，砂

利採取業

建設業

製造業


情報通信業

運輸業，郵

便業


金融業，保

険業

不動

産業，物品賃貸業





医療，福祉




分類不能の産業


10

(4) 経年分析（人数）

業種別の個人情報漏えい人数を積み上げたグラフが図 6である。 2006年、2007年の漏えい人数が多くなっているが、いずれの年も 100万人以上の大規模なインシデントが発生した年である。そのため、大規模なインシデントが

発生した業種の人数が特異的に増えてしまい、2006年は情報通信業が、2007年では複合サービス業が突出したグラフになっている。同様に 2009年は「金融業，保険業」が数としては突出している。つまり、業種別の個人情報漏えい人数に関しては、

業種による特徴よりも、大規模な情報漏えいインシデントが発生した業種が目立つ

傾向になっている。

図 6：業種別漏えい人数の経年変化（合計）

0.2万人 0.1万人

545.7万人

899.1万人

20.9万人

22.9万人

60.3万人

45.0万人116.3万人

473.0万人

54.0万人

34.7万人 42.3万人

43.7万人

33.4万人

61.2万人77.3万人

98.7万人 26.8万人

547.9万人

195.8万人 346.0万人

162.8万人 332.3万人

54.8万人67.7万人

1,498.6万人

30.7万人

586.1万人

14.5万人

31.2万人45.8万人

88.1万人

193.6万人

32.2万人

293.1万人 61.7万人

0万人

500万人

1,000万人

1,500万人

2,000万人

2,500万人

3,000万人

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)




医療，福祉









情報通信業


製造業

建設業


11

(5) 相関分析

2009年も、インシデント件数と漏えい人数が、ほぼ比例関係にある。ただし、その中にあって「公務」「教育，学習支援業」「医療，福祉」「電気・ガス・熱供給・水

道業」については、インシデント件数と漏えい人数のグラフの傾きに乖離かいり

が見られ

る。「電気・ガス・熱供給・水道業」は、インシデント件数に対して、漏えい人数の比

率がやや高くなっており、一件あたりの漏えい人数が多いという特徴を示している。

「公務」「教育，学習支援業」「医療，福祉」は反対に、インシデント件数に対して、

漏えい人数の比率が低くなっている。両業種においては、日常的に個人情報を扱う

機会が多いものの、一回に取り扱う量が数十人単位と少ないため、このような傾向

を示すものと分析できる。

図 7：業種別のインシデント件数と漏えい人数

0.1万人0.6万人

45.0万人42.3万人

0.2万人

26.8万人

330.8万人

0.2万人0.1万人

1.2万人1.7万人

2.5万人7.3万人

5.8万人45.8万人

61.7万人

18件 23件 29件

81件

8件52件

626件

39件2件 9件 4件

81件 64件40件

65件

398件

0件

100件

200件

300件

400件

500件

600件

700件

0万人

50万人

100万人

150万人

200万人

250万人

300万人

350万人

建設業

製造業


情報通信業









医療，福祉




分類不能の産業

人数

件数


12

3.4 原因


2009年のインシデントは、原因の半分を「管理ミス」が占めた。「管理ミス」に区分されるインシデントは、個人情報を守るルールが整備されていないために、社内

や主要な流通経路で発生するものである。誤って廃棄したために個人情報を紛失し

たとするケースや紛失した直接の原因が特定できていないケースが見受けられる。「管理ミス」を原因とするインシデントは、現場からの報告によって発覚するだけ

ではなく、内部調査、内部監査等など全組織的なチェック機能によって発覚する場

合も多い。2009年においては、「金融業，保険業」に内部調査、内部監査等で発覚したケースが多く見られ、それが「管理ミス」を 1位にした大きな要因になっている。これは、全国的に広まりつつある内部統制やコンプライアンスの考え方が 2009年でさらに浸透し、組織のチェック機能の強化が図られた結果と推測される。図 8を見ると、「管理ミス」の次に「誤操作」「紛失・置忘れ」が続く。「誤操作」は、郵送やメールの宛先を誤ることが多く、「紛失・置忘れ」は、外出中や帰宅中の

USBメモリ、ノートパソコンおよび紙ファイルの紛失が多い。これらは個人情報を取り扱う担当者のヒューマンエラーである。インシデントが人のセキュリティに対

図 8：漏えい原因比率（件数）

管理ミス

784件50.9%

誤操作

369件24.0%

紛失・置忘れ

122件7.9%

盗難

117件7.6%

不正な情報持ち出し

53件3.4%

バグ・セキュリティホー

ル

20件1.3%

内部犯罪・内部不正

行為

16件1.0%

目的外使用

16件1.0%

設定ミス

14件0.9%

不正アクセス

10件0.6%

ワーム・ウイルス

8件0.5%その他

5件0.3%

不明

5件0.3%


13

する意識やスキルに深く結びついていることが、ここから読み取れる。ヒューマン

エラーには、人的な対策として担当者へのセキュリティ教育(オペレーションの教育も含む)が不可欠であるが、組織的な対策としてヒューマンエラーを減らす手順や現場体制の整備もあわせて行うことが重要である。予防対策ではないが、ヒューマン

エラーは必ず起こることを前提として暗号化などの漏えい、紛失しても被害が拡大

しない対策もあわせて行うことも必要である。


2009年は「管理ミス」が著しく増えた。2008年と比較すると割合では約 2.3倍、件数では 2.6倍に至る。2007年から 2008年の変化においても「管理ミス」の件数、割合ともに増加していたが、2009年はさらにそれが加速している。これは、2009年になって個人情報の管理が甘くなったというわけではなく、全組織的な内部統制

とコンプラインスの意識が 2009年でいっそう浸透し(特に「金融業，保険業」）、今まで発覚していなかった個人情報漏えいインシデントが明らかにされてきたと読み

取るべきである。報告されるインシデントの数が一概に管理体制の弱さを示すもの

ではないことに留意していただきたい。「誤操作」「紛失・置忘れ」「盗難」「不正な情報持ち出し」の件数は減少している。

内部統制やコンプラインスの意識の高まりを背景に公表されるインシデントが増え

ている状況を考えると、「誤操作」「紛失・置忘れ」「盗難」「不正な情報持ち出し」

0.9% 0.2% 1.2%1.6% 1.3%1.1%

12.2% 8.3% 2.2%1.4%

0.9%0.8%

25.8%

19.0%16.6%

11.2%7.6%

42.1%29.2%

20.5%

14.1%

7.9%

12.4%

14.7%

18.2%

35.2%

24.0%

1.2%

1.7%

3.9% 4.4%

0.9%

5.1%

8.3%20.4% 22.2%

50.9%

3.3% 8.2%7.9% 5.8% 3.4%1.9%

1.0%1.4% 2.1%0.9% 1.4% 1.0%2.1% 1.7%

1.5% 1.2%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

不明

その他

内部犯罪・内部不正行為

目的外使用


管理ミス

設定ミス

誤操作

紛失・置忘れ

盗難

不正アクセス


バグ・セキュリティホール

図 9：漏えい原因比率の経年変化（件数）


14

のインシデントが隠蔽されているのではなく実際に減少傾向にあると考えられる。

これらのインシデントに対する対策が功を奏してきたのではないかと推測される。 2005年から 2009年の全体の傾向をみると、社外でのインシデントの原因となる「紛失・置忘れ」が減少傾向にあり、社内のインシデントの原因である「管理ミス」

が増大傾向にある。これは、この 5年間において社外における個人情報の管理が効果を発揮し、社外での漏えいインシデントを減少させてきたが、その一方で、社内

の個人情報の管理はまだ過去に見えていなかったインシデントを可視化している段

階で、実際の漏えいインシデントを減少させるまでに至っていないことを示唆して

いる。


2009年は 2008年に比べ全体の漏えい人数は減少した。図 10と図 8を比べると、件数においては、「管理ミス」、「誤操作」「紛失・置忘れ」など過失に結びつく原因のみが上位を占めたが、図 10のように人数で集計すると、「内部犯罪・内部不正行為」「不正アクセス」「目的外使用」が上位に入った。「内

部犯罪・内部不正行為」と「目的外使用」は 2009年においては際だって大きな漏えいインシデント(「内部犯罪・内部不正行為」2件、「目的外使用」1件、「3.2章個人情報漏えいインシデント・トップ 10」参照)があり、それらが漏えい人数を伸ばし

管理ミス

2,611,753人45.6%

内部犯罪・内部不正

行為

1,663,176人29.1%

不正アクセス

516,289人9.0%

目的外使用

364,290人6.4%


181,665人3.2%

盗難

138,414人2.4%

設定ミス

100,894人1.8%


52,808人0.9%

誤操作

49,397人0.9%

紛失・置忘れ

35,286人0.6%

バグ・セキュリティ

ホール

6,255人0.1% その他

158人0.0%

不明

1,113人0.0%

図 10：漏えい原因比率（人数）


15

ている。「不正アクセス」は例年、1件あたりの被害が大きくなる傾向があり、それは 2009年も同様であった。そのため発生件数が少ない中で漏えい人数が上位にあがっている。

(4) 相関分析（人数）

図 11からは、「内部犯罪・内部不正行為」「不正アクセス」「目的外使用」の一件あたりの漏えい人数が、他よりも格段に多いことがわかる。ただし、先にのべたよ

うに「内部犯罪・内部不正行為」「目的外使用」は突出したインシデントが発生した

ことによって平均人数をあげている。「不正アクセス」に関しては 2008年も一度のインシデントで大量の個人情報が漏えいする傾向を示しており、その傾向は 2009年も同様である。この理由は「不正アクセス」が個人情報の集まりであるファイルやデータベースを対象にして行われる

ものであるため、「不正アクセス」が発覚する際には常にまとまった数の個人情報件

数が漏えいするためと推測される。

図 11：漏えい原因別の一件あたりの漏えい人数

417.0人6,601.0人

51,628.9人

1,258.3人329.8人 136.5人10,089.4人

3,473.1人4,037.0人

22,768.1人

127,936.6人

31.6人 222.6人0人

20,000人

40,000人

60,000人

80,000人

100,000人

120,000人

バグ・セキュリティホール(n=15)

ワーム・ウイルス(n=382)

不正アクセス(n=20)

盗難(n=55)

紛失・置忘れ(n=17)

誤操作(n=813)

設定ミス(n=16)

管理ミス(n=11)

不正な情報持ち出し(n=126)

目的外使用(n=133)

内部犯罪・内部不正行為(n=9)

その他(n=6)

不明(n=5)


16

図 12に、特徴的な漏えい件数を示す 3つの漏えい原因をあげて 2009年の傾向をみる。件数、漏えい人数ともに第 1位の「管理ミス」は 100人未満と 1000人未満の情報漏えいインシデントが多いと言えるが、10万人～100万人未満までの漏えいインシデントも発生しており、漏えい人数が少なく収まらないことがわかる。件数で第 2位であった「誤操作」は、10人未満の情報漏えいインシデントが 3分の 2以上を占めており、少ない人数の漏えいインシデントが目立つ。「不正アクセス」は、1000人以上～1万人未満の規模のインシデントが最も多いが、10万人～100万人未満の大規模インシデントも 3件発生している。全体で 10件しか報告されていない「不正アクセス」において、10万人～100万人未満の大規模インシデントが 3件も発生しており、ここでも「不正アクセス」が大規模なインシデントに結びつきやすい傾向がわかる。これらの傾向から「管理ミス」に対する個人情報の管理対策を実施していくと同時

に、発生確率は低いが被害が大きくなる「不正アクセス」への対策についても、万

が一にも発生した場合を想定し、優先順位を上げて検討しておく必要があると考え

られる。

図 12：漏えい原因の人数区分（件数）

1~10人未満212件27.0%

10~100人未満157件20.0%

100~1000人未満

268件34.2%

1000~1万人未満

80件10.2%

1万~10万人未満

30件3.8%

10万~100万人未満

5件0.6%

不明

32件4.1%

管理ミス(n=784)

1~10人未満261件70.7%

10~100人未満

43件11.7%

100~1000人未満

51件13.8%

1000~1万人未満

6件1.6%

1万~10万人未満

1件0.3%

不明

7件1.9%

誤操作(n=369)

100~1000人未満

2件20.0%

1000~1万人未満

5件50.0%


3件30.0%

不正アクセス(n=10)


17

(5) 業種別（件数）

「金融業，保険業」は、「管理ミス」の占める比率が高く、書類の誤廃棄に関する

インシデントが多い。「金融業，保険業」の「管理ミス」の件数は、「管理ミス」全

体の件数の約 76%に至っている。先に「管理ミス」が内部統制やコンプラインス意識の向上によって増えたと考察したが、中でも「金融業，保険業」の内部統制やコ

ンプライアンス意識の向上が著しいと読み取れる。「公務」は、「誤操作」の占める比率が高い。内訳としては、郵送やメールの誤送

付が多く、日常業務の中で情報送付という作業が多いことに起因していると推測さ

れる。「複合サービス業」でも「管理ミス」が多い。それらの個々のインシデントを見る

と「複合サービス業」の中でも金融業務を行う組織が「管理ミス」によるインシデ

ントを報告していた。そのことから「複合サービス業」で「管理ミス」が増えた理

由は「金融業，保険業」に内部統制、コンプライアンス意識の高まった流れと同様

であることが推測される。

図 13：業種別の漏えい原因比率（件数）

95.2%

17.3%

35.8%

8.6% 9.2%

21.9% 19.2% 15.4%

77.5%

24.1%

11.1%4.3%

33.3% 37.5%

1.9%

64.8%

4.9%

22.2%

38.5%18.8%

19.2%17.9%

2.5%

6.9%22.2%

47.8%

22.2% 12.5%

100.0%

0.3%

7.0%

16.0%

19.8%

18.5%

10.9% 17.3%30.8%

7.5%

41.4%

22.2%

13.0%12.5%

1.1%

3.5%

21.0%

9.9%

10.8%

28.1%25.0%

30.8%

10.0%

10.3%33.3% 17.4%

22.2% 12.5%

25.0%

0.8%3.0%

17.3%

3.7%

4.6%

15.6%

1.9%

2.5%

10.3%4.3%

1.2%

11.1%

7.7% 3.8%

13.0%

0.5%1.0%

1.2%

1.5%

1.6% 3.4%

11.1%25.0%

50.0%

0.2%1.3% 1.2%

6.2%

1.6% 2.6%5.6%

11.1%2.5%

7.4%

3.1%5.8% 25.0%

3.7%4.6% 5.8%

2.6%0.5%3.7%

1.5% 1.6% 5.6%1.0% 1.2%0.5% 1.2% 1.9% 3.4%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

金融業，保険業

(n=626)

公務(他に分類されるものを除く)(n=398)

教育，学習支援業(n=81)

情報通信業(n=81)

サービス業(他に分類されないもの)(n=65)

医療，福祉(n=64)

卸売業，小売業(n=52)

不動産業，物品賃貸業(n=39)

複合サービス事業(n=40)

電気・ガス・熱供給・水道業(n=29)

建設業(n=18)

製造業(n=23)

宿泊業，飲食サービス業(n=9)

運輸業，郵便業(n=8)

生活関連サービス業，娯楽業(n=4)

学術研究，専門・技術サービス業(n=2)

不明

その他


不正アクセス

設定ミス

目的外使用


バグ・セキュリティホール


盗難

紛失・置忘れ

誤操作

管理ミス


18

3.5 漏えい媒体・経路


漏えい媒体・経路では、「紙媒体」がインシデント件数の大多数（72.6%）を占める。紙媒体は、業種や業務内容に関わらず、どんな場合においても多用される、使

用機会の多い媒体であるため、それだけ漏えいすることが多い。また紙媒体によっ

て漏えいした原因は、保管中の情報を誤廃棄するなどの「管理ミス」や、誤送付、

誤交付といった「誤操作」によるものが多い。次に「USB等可搬記録媒体」が 9.4%、「電子メール」が 7.0%を占める。なお、媒体・経路の名称のうち、「Web・Net」を「インターネット」へ、「Email」を「電子メール」へ変更した。

図 14：漏えい媒体・経路比率（件数）

紙媒体

1,117件72.6%

USB等可搬記録媒体

144件9.4%

電子メール

108件7.0%

インターネット

70件4.5%

PC本体58件3.8%

その他

30件1.9%

不明

12件0.8%


19


「紙媒体」による漏えい件数は、2008年に引き続き 2009年も大幅に増加した(＋

349件)。この影響により他の媒体の割合は、減少している。「インターネット」と「PC本体」は、件数も減少している。ただし、「USB等可搬記録媒体」と「電子メール」の件数は、横ばいである。

49.9%43.8% 40.4%

55.9%

72.6%

16.8%

10.7%10.9%

7.3%

3.8%15.7%

8.2% 12.5%

9.9%

9.4%

6.4%

22.0%15.4%

11.7%

4.5%6.6%

7.7%9.8%

8.1%

7.0%0.1%

3.1% 6.8%5.9%

6.4%1.9%1.6% 0.8% 5.1%

0.7% 0.8%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

不明

その他

電子メール



PC本体

紙媒体

図 15：漏えい経路比率の経年変化（件数）


20


個人情報が漏えいした人数は、「USB等可搬記録媒体」が約 60%を占める。図 14に示すように「USB等可搬記録媒体」はインシデントの件数は少ないが、1件あたりの漏えい人数が多く、かつ、その中には、大規模なインシデントが数件含まれて

いるため、このような結果となった。「表 2：インシデント・トップ 10」のうちの 5件が「USB等可搬記録媒体」によるものであり、この 5件のインシデントだけで合計 283万 5,641人、漏えい人数の実に 49.6％を占める。一方、2008年に最も人数の多かった「紙媒体」は、13.1％であった。2009年は

10万人以上の大規模インシデントが発生しなかった。このように、大規模インシデントが人数の比率に大きく影響する。


3,457,460人60.4%


829,603人14.5%

紙媒体

751,521人13.1%

PC本体226,244人

4.0%

電子メール

56,450人1.0%

その他

20,479人0.4%

不明

379,741人6.6%

図 16：漏えい媒体・経路比率（人数）


21

漏えい媒体・経路別の一件あたりの平均漏えい人数は、「USB等可搬記録媒体」「インターネット」「PC本体」が多い。「USB等可搬記録媒体」の平均漏えい人数が多い理由は前述した数件の大規模インシデントが影響している面もあるが、これらの

媒体・経路は、いずれも個人情報が扱い易い電子データ（ファイル）に保存されて

いること、個人情報が一度に大量に保存・管理されていることが関係している。なお、漏えい媒体・経路が「不明」の平均漏えい人数が突出して大きい理由は、12件のうちの 1件が約 35万人の大規模インシデントであったことによるものである。

690.1人

4,713.4人

28,339.8人

13,600.0人

553.4人 819.2人

34,521.9人

0人

5,000人

10,000人

15,000人

20,000人

25,000人

30,000人

35,000人

紙媒体(n=1117)

PC本体(n=58)

USB等可搬記録媒体(n=144)

インターネット(n=70)

電子メール(n=108)

その他(n=30)

不明(n=12)

図 17：漏えい媒体・経路別の一件あたりの漏えい人数


22

人数区分のインシデント件数の分布を図 18に示す。「紙媒体」を媒体・経路とするインシデントは、漏えい規模が 1000人未満のインシデントが約 90%を占め、とくに 1~10人未満の小規模なインシデントの比率が約45%と最も高い。「電子メール」も漏えい規模が 1000人未満のインシデントの比率が約 90%を占めるが、その内訳は異なり、100～1000人未満のインシデントの比率が約 46%と高い。一方で「USB等可搬記録媒体」によるインシデントは、漏えい規模が 1000人未満のインシデントの比率が低く、10万人以上の比較的規模の大きいインシデントの比率が高い。100万人以上の大規模なインシデントも発生している。

図 18：漏えい規模比率(件数)

44.9%

1.7% 4.2%

17.1% 13.9%

26.7%33.3%

20.0%

19.0%18.8%

20.0% 28.7%

23.3% 8.3%

25.4%

44.8%

24.3%

24.3%

46.3%23.3%

25.0%

5.3%

10.3%

25.7%

14.3%

3.7%

6.7%

8.3%

1.9%

5.2% 7.6% 5.7%

1.9%

3.3%8.3%

1.7% 3.5%5.7%

8.3%0.7%

2.5%

17.2% 15.3%12.9%

5.6%

16.7%8.3%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

紙媒体(n=1117)

PC本体(n=58)

USB等可搬記録媒体(n=144)

インターネット(n=70)

電子メール(n=108)

その他(n=30)

不明(n=12)

不明

100万人以上

10万～100万人未満

1万~10万人未満

1000~1万人未満

100~1000人未満

10~100人未満

1~10人未満


23


紙媒体は、業種、業務内容に関わらず、どんな場合においても多用される、使用機

会の多い媒体であるため、紙媒体から漏えいする比率が高い業種が多い。「金融業，

保険業」「複合サービス業」「公務(他に分類されるものを除く)」は、とくに比率が高い。「教育，学習支援業」「医療，福祉」は、「USB等可搬記録媒体」による比率が高い。一方、「サービス業（他に分類されないもの）」「情報通信業」「製造業」「卸売業，

小売業」は、「インターネット」および「電子メール」といったネットワークを介し

た漏えいインシデントの比率が高い。業種によって、漏えいが発生しやすい媒体が異なっている。やはり、個人情報の移

送・保管などに使用されることが多い媒体からの発生が多いと思われる。

図 19：業種別の漏えい経路比率（件数）

72.2%

39.1%

58.6%

33.3%

50.0%40.4%

89.3%

66.7%

50.0% 44.4%

25.0%38.3% 40.6%

87.5%8.7%

10.3%

1.2%

12.5%

5.8%

8.8%

2.6%44.4% 35.9%

2.5%

5.6%39.1%

3.4%

19.8%

12.5%

19.2%

7.7% 50.0%

22.2%

25.0%

4.9%5.6%

13.0%

6.9%

27.2%15.4%

2.6%

25.0%

3.7%

3.1%

5.0%

6.9%9.9%

12.5%11.5%

5.1%

11.1%

8.6%18.8%

5.0%16.7% 13.8% 3.7% 12.5% 3.8% 12.8%

1.6%4.9% 3.8% 2.6%

22.2% 25.0%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

建設業(n=18)

製造業(n=23)



運輸業，郵

便業(n=8)


金融業，保険業(n=626)

不動

産業，物品賃貸業(n=39)

学術研究，専門・技術サービス業(n=2)


生活関連サービス業，娯楽業(n=4)




(n=40)

不明

その他

PC本体


電子メール


紙媒体


24

3.6 漏えい規模

(1) 単年

図 20によると、インシデント一件あたりの漏えい人数が 1000人未満のインシデントの比率が、約 83%と全体の 5分の 4以上を占めている。これは、漏えい人数の少ないインシデントが多く発生していることを示しているが、別の見方をすれば、

近年は、これまで見過ごしていた小規模なインシデントであっても把握し、積極的

に公表する傾向があらわれていると言える。

図 20：漏えい規模比率（件数）

1~10人未満548件35.6%

10~100人未満314件20.4%

100~1000人未満422件27.4%

1000~1万人未満119件7.7%

1万~10万人未満43件2.8%


11件0.7%

100万人以上1件0.1%

不明

81件5.3%


25


図 21は一件あたりの漏えい人数を人数区分ごとの件数で示したグラフである。 2005年から 2007年までは「100～1000人未満」が最も多く、次いで「10～100人未満」、「1~10人未満」という順位で推移してきたが、2008年に「10人未満」の件数が大きく増えて第 1位となった。2009年にはさらに件数が増えている。2009年は「100～1000人未満」の区分も増加し、第 2位となっている。その他の区分については、2008年から横ばいあるいは減少傾向にある

147件178件

136件

479件

548件

281件 287件

226件

314件 314件308件 290件

269件300件

422件

140件 137件111件 122件 119件

98件

38件 50件 42件 43件13件 15件 19件 19件 11件1件 4件 2件 0件 1件

44件44件 51件

97件81件

0件

100件

200件

300件

400件

500件

600件

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

1~10人未満

10~100人未満

100~1000人未満

1000~1万人未満

1万~10万人未満


100万人以上

不明

図 21：一件あたりの漏えい人数区分の経年変化（件数）


26

図 22は、図 21を比率で表現し直したグラフである。「1~10人未満」の比率が、2008年と 2009年に増えている。インシデントが起きた場合には、漏えい人数が 1人であっても公表する傾向になってきたことが、小規模な漏えい人数区分の比率を押し上げる一因となっている。それ以外は、大きな変動はない。

図 22一件あたりの漏えい人数区分の比率の経年変化（件数）

14.2% 17.9% 15.7%

34.9% 35.6%

27.2%28.9%

26.2%

22.9% 20.4%

29.8%29.2%

31.1%

21.8% 27.4%

13.6%13.8%

12.8%8.9%

7.7%9.5%

3.8%5.8% 3.1%

2.8%1.3% 1.5% 2.2% 1.4%

0.7%0.1% 0.4% 0.2% 0.1%4.3% 4.4% 5.9% 7.1% 5.3%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

不明

100万人以上


1万~10万人未満

1000~1万人未満

100~1000人未満

10~100人未満

1~10人未満


27


「公務」「建設業」「不動産業，物品賃貸業」「医療，福祉」は、100人未満の小規模なインシデントが多い。なお、「生活関連サービス業、娯楽業」は、「1～10万人未満」の規模の占める比率が突出しているが、これはインシデントが 4件ときわめて少なく、かつ「1～10万人未満」の規模のインシデントが発生しているからである。

図 23：業種別の漏えい規模比率（件数）

55.6%

8.7%17.2% 18.5%

11.5%25.2%

48.7% 50.0%

4.9%

37.5%

5.0%

21.5%

72.4%

27.8%

21.7%

34.5% 28.4%

12.5%

28.8%

18.8%

30.8%

33.3%

40.7%

28.1%

12.5%

24.6%

12.6%

16.7%

52.2%

31.0%29.6%

75.0%

38.5% 33.9%

17.9%

50.0%

33.3%

25.0%

39.5%

25.0%

62.5%

26.2%

8.5%4.3% 6.9%

8.6%13.5% 11.8%

22.2%

4.9%4.7%

12.5%

1.5%

3.3%

1.2%

1.9% 4.6%

25.0%

1.6% 5.0%

7.7%

0.8%3.4% 1.2%

1.9% 0.5%

3.1%

0.8%0.2%13.0%

6.9% 12.3% 12.5%3.8% 5.0% 2.6%

11.1%

50.0%

9.9%3.1% 2.5%

15.4%1.8%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

建設業(n=18)

製造業(n=23)



運輸業，郵

便業

(n=8)


金融業，保険業(n=626)

不動

産業，物品賃貸業(n=39)


(n=2)



(n=4)



複合サービス事業(n=40)

サービス業(他に分類されないもの)(n=65)

公務(他に分類されるものを除く)(n=398)

不明

100万人以上


1万~10万人未満

1000~1万人未満

100~1000人未満

10~100人未満

1~10人未満


28

3.7 漏えい情報の価値

(1) 漏えい情報

表 3：漏えい情報の出現確率

人数区分件数出現確率

氏名 1,422件 88.4%

住所 853件 53.0%

電話番号 511件 31.8%

生年月日 495件 30.8%

性別 119件 7.4%

職業 204件 12.7%

メールアドレス 157件 9.8%

ID/PASSWD 13件 0.8%

「氏名」の出現率が 88.4%であり、2008年（93.7%）までと同様、著しく高い。次いで住所（53%）、電話番号（31.8%）と続く。「氏名」、「住所」は基本的な個人情報であるため、出現率が高いと考えられる。約 1パーセントの確率で、IDとパスワードが漏えいしており、深刻な被害を及ぼす恐れがある個人情報が漏えいしていることが分かる。

図 24：漏えい情報の出現確率

1,422件

853件

511件 495件

119件204件

157件

13件0件

200件

400件

600件

800件

1,000件

1,200件

1,400件

氏名

住所

電話番号

生年月日

性別

職業

メールアドレス

ID/パスワード


29

表 4：漏えい情報の組み合わせ出現確率

漏えい情報の組み合わせ件数出現確率 1 氏名住所 836件 52.0%

2 氏名電話番号 499件 31.0%

3 氏名生年月日 492件 30.6%

4 氏名住所電話番号 425件 26.4%

5 氏名住所電話番号生年月日 256件 15.9%

6 氏名住所電話番号生年月日性別 37件 2.3%

7 氏名住所電話番号生年月日メールアドレス 33件 2.1%

組み合わせ出現確率をみると、2008年までと同様「住所＋氏名」、「氏名＋電話番号」、「氏名＋生年月日」等、基本情報を組み合わせたものが多いことが分かる

(1)

失

を

る

あ

い

2業

) 漏えい

2009年のイ失レベルの二

を図に示す。

2009年の被るフィールド

あり、精神的

いる。また、

2009年にお業」業界にお

© Copyrig

い情報の価

インシデン

二つの評価軸

被害分布状況

ドの大幅な増

的苦痛におい

2008年にいては、27.おけるインシ

図

ht 2010 NP

価値分布（

トで漏えいし

軸を用いて機

況の特徴は、

増加である。

いても、2008おいては、

.6%と、倍以シデントの増

25：シンプ

PO Japan N30

（ＥＰ図）

した情報につ

機微度を評価

精神的苦痛

経済的損失

8年に比べてこの領域は、

以上の増加に

増加が要因と

プル EP図分

etwork Secu

ついて、精神

価し、シンプル

痛と経済的損

失では、レベ

てレベル 1と、全体の 11になっている

思われる。

分布（件数）

urity Associ

神的苦痛レベ

ル EP図上に

損失のレベル

ル 1と 2がと 2の差が大

.3%に過ぎな。これは、

iation (JNS

ベルと経済的

に表示した結

ルが共に 2でほぼ同水準で

大幅に縮まっ

なかったのが

「金融業，保

SA)

的損

結果

であ

で

って

が、

保険


31

表 5：精神的苦痛／経済的損失レベル別のインシデント件数

精神的苦痛レベル 1

精神的苦痛レベル 2

精神的苦痛

レベル 3 合計比率

(増減) 経済的損失レベル 3 34件 0件 3件 37件

2.4% （+1.4）

経済的損失レベル 2 309件 425件 4件 738件

48.0% （+25.6）

経済的損失レベル 1 552件 160件 52件 764件

49.6% （-27.0）

合計 895件 585件 59件1,539件比率

(増減) 58.2%

（-10.3） 38.0%

（+11.9）3.8%

（-1.5）

表 5の比率欄の括弧内には、2008年からの増減を示している。2009年は、2008年までと違い、精神的苦痛レベル 2で経済的損害がレベル 2のフィールドがボリュームゾーンになってきているのが特徴である。

(2)

務

融

業

考

融

と

) 業種別

経済的損失

務」、「金融業

経済的損失

融業，保険業

業界が特出し

考えられる。

経済的損失

融業，保険業

と同様に考え

© Copyrig

別ＥＰ分布

失レベル 1の業，保険業」、

失レベル 2の業」、「公務」、

しているが、

失レベル 3の業」、が 25件えられる。

図 26：漏

ht 2010 NP

布

の個人情報が

、「教育、学

の個人情報が

「複合サービ

これは預金

の個人情報が

件であり、他

漏えい情報の

PO Japan N32

が漏えいした

学習支援」、「

が漏えいした

ビス」、「情報

金残高等やク

が漏えいした

は 5件未満

経済的損失

etwork Secu

インシデン

「情報通信業

インシデン

報通信業」で

レジットカ

インシデン

であった。こ

レベル分布

urity Associ

ト件数が多い

」である。ト件数が多い

である。「金融

ード情報が多

ト件数が多い

これについて

（件数）

iation (JNS

い業界は「公

い業界は、「

融業，保険業

多いためだと

い業界は、「

ても、レベル

SA)

公

「金

業」

と

「金

ル 2

業

融

に

た

レ

報

務

の

精神的苦痛

業，保険業」

精神的苦痛

融業，保険業

については経

ためである。

レベル 2の件報が漏えいし

精神的苦痛

務」、「医療，

の情報が、「

© Copyrig

痛レベル 1の、「公務」、

痛レベル 2の業」、「公務」、

経済的損失の

また、「教育

件数の方が多

しているため

痛レベル 3の福祉」、「サ

医療，福祉」

図 27：漏

ht 2010 NP

の個人情報が

「情報通信業

の個人情報が

、「教育，学

の場合と同様

育，学習支援

多い。これは

めである。

の個人情報が

サービス業」

」では、病名

えい情報の精

PO Japan N33

が漏えいした

業」である。

が漏えいした

学習支援業」、

様に預金残高

援業」、「医療

は、主にテス

が漏えいした

である。こ

名、病歴など

精神的苦痛

etwork Secu

インシデン

インシデン

「医療，福祉

高、クレジッ

療，福祉」で

トの結果や

インシデン

れは、「公務

どが漏えいし

レベル分布

urity Associ

ト件数が多い

ト件数が多い

祉」となって

トカード情報

ではレベル

健康診断の結

ト件数が多い

務」では、本

したためであ

（件数）

iation (JNS

い業界は「金

い業界は、「

ている。金融

報などが多い

1の件数より結果などの情

い業界は、「

本籍、犯歴な

ある。

SA)

金融

「金

融

い

り、

情

「公

など


34

3.8 経年分析 2005年から 2009年の間に収集した 5年間分のインシデント情報をもとに様々な経年分析を行った。2002年から 2004年までのインシデント情報は公表件数が少なく、統計データとしては偏りが大きいため、2009年の分析では、これらを除外した。

表 6：漏えい人数とインシデント件数の経年変化

インシデント件数漏えい人数

一件あたりの

平均漏えい人数※

2005 年 1,032 件 881 万 4,735 人 8,922 人

2006 年 993 件 2,223 万 6,576 人 2 万 3,432 人

2007 年 864 件 3,053 万 1,004 人 3 万 7,554 人

2008 年 1,373 件 723 万 2,763 人 5,668 人

2009 年 1,539 件 572 万 1,498 人 3,924 人

2009年のインシデント件数は、2005年以降において最多の 1,539件となった。一方、漏えい人数は、2005年以降において最少の約 572万人となっており、2007年以降、減少する傾向にある。その結果、個人情報が漏えいした人は、日本の人口の

約 22人に 1人の割合であった。インシデント一件あたりの平均漏えい人数も過去最少の 3,924人／件となっている。これは、漏えい人数が 1000人未満のインシデントが全体の 83.4%(1,284件)を占めることからもわかるように、小規模なインシデントが多く公表されていること

が大きく関係している。

※漏えい人数をインシデント件数（被害者数不明のインシデント件数を除く）で除算する。

例えば 2009年は 1539件から被害者数不明の 81件を除いた 1,458件で漏えい人数を除算した。


35

個人情報保護法が完全施行された 2005年以降、毎年 1,000件程度の個人情報の漏えいインシデントが新聞やインターネットニュースで報道され続けており、2009年は過去最多の 1,539件となった。情報漏えいインシデントを起こしてしまった組織が、積極的にインシデントを公表する姿勢が定着してきているものと考えられる。一方、2005年から 2007年まで増加傾向であった漏えい人数は、2008年と 2009年は明らかに減少している。

表 7：内部不正による漏えい人数の経年変化の割合

原因 2005年 2006年 2007年 2008年 2009年

内部犯罪・内部不正行為 10.2% 18.0% 28.3% 4.4% 29.1%

内部犯罪・内部不正行為以外 89.8% 82.0% 71.7% 95.6% 70.9%

内部犯罪・内部不正行為による漏えい人数の割合は、2009年は 29.1%であった。この割合は、年によってばらつきがある。2008年が最も割合が小さく 4.4%であったにもかかわらず、その翌年の 2009年はこれまでで最も大きい。近年は、内部の権限管理、持ち出し禁止などの対策によって、内部犯罪や不正行為を防止できるよう

になってきていると思われるが、やはり権限を持つ者による内部犯罪・内部不正行

為を無くすことは難しい。

図 28インシデント件数と内部不正による漏えい人数の経年変化（合計）

791.9万人

1823.5万人

2188.8万人

691.6万人405.8万人

89.6万人

400.1万人

864.3万人

31.7万人

166.3万人

1,032件993件

864件

1,373件

1,539件

0件

200件

400件

600件

800件

1,000件

1,200件

1,400件

1,600件

0万人

500万人

1000万人

1500万人

2000万人

2500万人

3000万人

2005年 2006年 2007年 2008年 2009年


内部犯罪・内部不正行為以外

件数


36

4 2009 年想定損害賠償額の算定結果

4.1 想定損害賠償総額表 8：想定損害賠償総額の経年変化

想定損害賠償総額

2005年約 5,329億円2006年約 4,570億円2007年約 2兆 2,711億円2008年約 2,367億円2009年約 3,890億円

2009年の想定損害賠償総額である約 3,890憶円は、2009年に発生したオレオレ詐欺の被害額（約 52億 266万円*）の約 75倍に相当するものとなった。

図 29：想定損害賠償総額と漏えい人数 2009年の漏えい人数と想定損害賠償総額を 2008年と比較すると、漏えい人数が減少しているにもかかわらず想定損害賠償総額は増加している。この原因としては、

一般的に個人情報の価値が高いと言われている「金融業、保険業」や「電気・ガス・

熱供給・水道業」のインシデントの割合が大幅に増加したことが挙げられる。また 2007年には想定損害賠償総額が過去最高になったが、これは個人情報の価値が高く、かつ大規模なインシデントが発生したためである。

*警察庁 http://www.npa.go.jp/safetylife/seianki31/1_hurikome.htm

5328億7978.3万円4570億0086.3万円

2兆2710億8943万円

2366億9729.1万円3890億4288.9万円

881万4735人

2223万6576人

3053万1004人

723万2763人572万1498人

0人

500万0000人

1000万0000人

1500万0000人

2000万0000人

2500万0000人

3000万0000人

0万円

2000億0000万円

4000億0000万円

6000億0000万円

8000億0000万円

1兆0000億0000万円

1兆2000億0000万円

1兆4000億0000万円

1兆6000億0000万円

1兆8000億0000万円

2兆0000億0000万円

2兆2000億0000万円

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

合計 / 損害賠償総額(万円)

人数


37

これらのことから、想定損害賠償総額は「大規模インシデントの発生有無」や「漏

えいした個人情報の価値」によって大きく変動する結果となっている。

4.2 一人あたりの想定損害賠償額

(1) 単年分析

2009年は、一人あたりの想定損害賠償額が「2～5万円未満」*のインシデント件数の占める比率が約 36％と最も多く、次いで「1～2万円未満」の比率が 18％となった。

* 一人あたりの想定損害賠償損害額が年々増加していることから、本報告書より金額の内訳単位を詳細に変更した。

図 30：一人あたりの想定損害賠償額比率（件数）

5000円未満145件9.4%

5000～1万円未満233件15.1%

1～2万円未満278件18.1%2～5万円未満

554件36.0%

5～10万円未満245件15.9%

10～20万円未満29件1.9%

20～50万円未満30件1.9%

50～100万円未満25件1.6%


38

(2) 経年分析

表 9：一人あたりの平均想定損害賠償額 2005年 4万 547円2006年 3万 6,743円2007年 3万 8,228円2008年 4万 3,632円2009年 4万 9,961円

一人あたりの平均想定損害賠償額は、2008年の 4万 3,632円から 2009年の 4万

9,961円へと増加しており、2006年以降やや増加傾向である。次に「一人あたりの想定損害賠償額比率の経年変化」のグラフと実件数を示す。

図 31：一人あたりの想定損害賠償額比率の経年変化（件数）

11.7% 14.3% 14.2% 11.7% 9.4%

18.8%

25.0%30.0%

27.3%

15.1%

29.6%

30.4%25.0%

26.9%

18.1%

21.9%

16.2% 16.1%17.1%

36.0%

14.2% 10.0% 10.5% 11.6%15.9%

1.0% 0.6% 0.5% 0.2% 1.9%1.3% 1.9% 1.7% 3.1% 1.9%1.6% 1.6% 2.0% 2.0% 1.6%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

50～100万円未満

20～50万円未満

10～20万円未満

5～10万円未満

2～5万円未満

1～2万円未満


5000円未満


39

表 10：一人あたりの想定損害賠償額の経年変化

一人当たり損害賠償区分

2005年 (n=1032)

2006年 (n=993)

2007年 (n=864)

2008年 (n=1373)

2009年 (n=1539)

5000円未満 121件 142件 123件 161件 145件 5000～1万円未満 194件 248件 259件 375件 233件

1～2万円未満 305件 302件 216件 369件 278件 2～5万円未満 226件 161件 139件 235件 554件

5～10万円未満 147件 99件 91件 159件 245件 10～20万円未満 10件 6件 4件 3件 29件 20～50万円未満 13件 19件 15件 43件 30件

50～100万円未満 16件 16件 17件 28件 25件 100万円以上 0件 0件 0件 0件 0件

合計 1,032件 993件 864件 1,373件 1,539件 2009年は、2008年より「5000円未満」、「5000～1万円未満」、「1～2万円未満」の小規模なインシデント件数が減少し、「2～5万円未満」、「5～10万円未満」、「10～20万円未満」の中規模なインシデント件数が増加した。これは、預金残高やクレジット情報など情報価値の高い個人情報を多く含むインシ

デント件数が増加したためであると考えられる。


40

【一人あたりの平均想定損害賠償額について】

「一人あたりの想定損害賠償額」は、インシデント毎に算出している。「一人

あたりの平均想定損害賠償額」は、このインシデント毎の「一人あたりの想定損

害賠償額」の平均金額を求めた。よって、全インシデントの「一人あたりの想定

損害賠償額」を合計し、「インシデント総件数」で除算して、「一人あたりの平均

想定損害賠償額」を算出している。「想定損害賠償額の合計」を「漏えい人数の

合計」で、除算した値ではないことに注意されたい。算出式、及び具体的な計算例は、以下の通りである。インシデントが以下の 2件の場合 Aインシデントの一人あたり想定賠償額 = a円 Bインシデントの一人あたり想定賠償額 = b円一人あたりの平均想定損害賠償額 = (ａ円＋b円)÷2件 ■具体例

表 11：インシデント内容（具体例）

漏えい人数想定損害賠償総額一人あたりの想定損害賠償額

Aインシデント 1人 100万円 100万円 Bインシデント 100人 100万円 1万円

表 12：一人あたりの想定損害賠償額（具体例）

漏えい人数一人あたりの想定損害賠償額

人数で除算した場合 101人 200万円÷101人 = 1.98万円本報告書の場合 101人 (100万円+1万円)÷2件 = 50.5万円


41

4.3 一件あたりの想定損害賠償額

(1) 単年分析

一件あたりの想定損害賠償額が 100万円未満のインシデントが半数以上(53.2%)を占め、そのうち「10万円以上～100万円未満」の比率が最も高く 26.3%である。一件あたりの想定損害賠償額が「1万円未満」、「1万円以上～10万円未満」、「10万円以上～100万円未満」のインシデントは、一件あたりの漏えい人数が少なく、かつ漏えいした個人情報の価値があまり高くないインシデントと想定される。

図 32：一件あたりの想定損害賠償額比率（件数）

1万円未満62件4%

1～10万円未満353件23%

10～100万円未満404件26%

100～1000万円未満

281件18%

1000～1億円未満

245件16%

1～10億円未満86件6%

10～100億円未満20件1%

100億円以上7件1%

不明

81件5%


42

(2) 経年分析

表 13：一件あたりの平均損害賠償額の経年変化

一件あたりの平均想定損害賠償額

(参考) 想定損害賠償総額

2005年 5億 3,935万円約 5,329億円 2006年 4億 8,156万円約 4,570億円 2007年 27億 9,347万円約 2兆 2,711億円 2008年 1億 8,552万円約 2,367億円 2009年 2億 6,683万円約 3,890億円

2009年の想定損害賠償総額は、大きく減少した 2008年から再び増加したものの、過去の想定損害賠償総額までは増加していない。個人情報保護法施行の年である

2005年も大きく下回った。理由の一つは、漏えい人数が少ないことが挙げられる。理由のもう一つは、機微な

個人情報が大規模に漏えいしたインシデントが少なく、想定損害賠償総額が巨額に

なるインシデントがなかったことが挙げられる。

図 33：一件あたりの想定損害賠償額比率の経年変化（件数）

1.7% 2.2% 3.5%5.5% 4.0%

11.4%17.0% 14.0%

26.6%22.9%

24.5%

26.1%25.8%

25.1%26.3%

28.4%

26.7%23.5%

17.8%18.3%

14.1%

14.7%16.3%

12.2% 15.9%

9.6%5.4%

6.5%3.9% 5.6%

5.6% 2.6% 3.2% 1.4% 1.3%0.4% 0.8% 1.3% 0.4% 0.5%4.3% 4.4% 5.9% 7.1% 5.3%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2005年(n=1032)

2006年(n=993)

2007年(n=864)

2008年(n=1373)

2009年(n=1539)

不明

100億円以上


1～10億円未満


100～1000万円未満


1～10万円未満

1万円未満


43

表 14：一件あたりの想定損害賠償額の経年変化

一件当たり損害賠償総額区分

2005年 (n=1032)

2006年 (n=993)

2007年 (n=864)

2008年 (n=1373)

2009年 (n=1539)

1万円未満 18件 22件 30件 76件 62件1～10万円未満 118件 169件 121件 365件 353件10～100万円未満 253件 259件 223件 344件 404件100～1000万円未満 293件 265件 203件 245件 281件1000～1億円未満 145件 146件 141件 168件 245件1～10億円未満 99件 54件 56件 53件 86件10～100億円未満 58件 26件 28件 19件 20件100億円以上 4件 8件 11件 6件 7件不明 44件 44件 51件 97件 81件合計 1,032件 993件 864件 1,373件 1,539件

2007年以前と比べて、2008年と 2009年は「1万円以上～10万円未満」の比率が高い。それに伴って、全体的に 100万円未満の比率も、それまでの約 45%から約 55%へ、やや高くなっている。一方、2008年と 2009年の「100万円以上～1000万円未満」の比率は、減少している。

2009年は大規模インシデントが少なく、一件あたりの

2009年 情報セキュリティインシデントに関する 調 …...3 3...

Documents

2009年情報セキュリティインシデントに関する調 …...3 3...