情報事故の原因と傾向 情報事故が発生した際の影響 尼崎市立教育総合センター 本教材は(株)NTTドコモ関西支社総務部 情報セキュリティ担当様提供資料より引用 1 情報事故の原因と傾向(1) 情報事故の件数は、毎年増加する傾向にある 情報事故件数・流出データ数の推移(一般企業も含む) 個人情報保護法施行 2010年は漏えい件数は過去最多の1679件となった。漏洩人数は2007年以降減少する傾向にある。 1件の漏えい人数が100万人を大きく超える大規模な事故の減少、漏えい人数が1000人未満の小規 模な事故が多く公表されていることが大きく関係している。 「2002年~2010年情報セキュリティインシデントに関する調査報告書」より (日本ネットワークセキュリティ協会) 2 情報事故の原因と傾向(2) 情報事故原因の推移(一般企業も含む) 2005年 2006年 2007年 2008年 2009年 2010年 紛失・置忘れ 42.1% 紛失・置忘れ 29.2% 管理ミス 20.4% 誤操作 35.2% 管理ミス 50.9% 管理ミス 36.3% 盗難 25.8% 盗難 19.0% 紛失・置忘れ 20.5% 管理ミス 22.2% 誤操作 24.0% 誤操作 32.3% 誤操作 12.4% 誤操作 14.7% 誤操作 18.2% 紛失・置忘れ 14.1% 紛失・置忘れ 7.9% 紛失・置忘れ 12.6% 12.2% 盗難 16.6% 盗難 11.2% 盗難 7.6% 盗難 7.6% 管理ミス 5.1% ワーム・ウィルス 不正な持出し 3.3% 管理ミス 8.3% ワーム・ウィルス 8.3% 不正な持出し 5.8% 不正な持出し 3.4% 不正な持出し 4.3% 目的外使用 1.9% 不正な持出し 8.1% 不正な持出し 7.9% 設定ミス 4.4% バグ 1.3% バグ 1.5% 内部犯罪・ 内部不正行為 1.4% 内部犯罪・ 内部不正行為 2.2% 設定ミス 3.9% ワーム・ウィルス 2.2% 内部犯罪・ 内部不正行為 1.0% 設定ミス 1.0% 不正アクセス 1.4% 設定ミス 1.7% バグ 1.2% バグ 1.6% 目的外使用 1.0% 不正アクセス 1.0% 設定ミス 1.2% 不正アクセス 0.9% 内部犯罪・ 内部不正行為 0.9% 内部犯罪・ 内部不正行為 1.4% 設定ミス 0.9% 目的外使用 0.6% ワーム・ウィルス 1.1% 目的外使用 0.6% 不正アクセス 0.8% 不正アクセス 0.7% 不正アクセス 0.6% 内部犯罪・ 内部不正行為 0.5% バグ 0.9% バグ 0.2% 目的外使用 0.1% 目的外使用 0.3% ワーム・ウィルス 0.5% ワーム・ウィルス 0.4% 不明 1.3% 不明 1.2% 不明 0.7% 不明 0.6% 不明 0.3% 不明 0.7% その他 2.1% その他 1.7% その他 0.5% その他 0.3% その他 0.3% その他 1.1% ※情報事故原因の考え方は、「(別添)情報事故原因区分の考え方」を参照 管理ミス及び誤操作、紛失・置忘れはヒューマンエラーである。これらの増加は、 個人情報の取り扱いに関する担当者の意識低下と結びつけることもできる。 「2002年~2010年上半期(速報) 情報セキュリティインシデントに関する調査報告書」より (日本ネットワークセキュリティ協会) 3 情報事故の原因と傾向(3) 紛失・置忘れ 盗 難 不正持ち出し ファイル交換 ソフトウェアに よる流出 会社情報 ●カバンの紛失・置忘れ ●パソコン等の盗難 ●学校情報(管理情報) の自宅への持ち帰り 情報事故は「自分は大丈夫だろう」「短時間なら大丈夫だろう」といった 一瞬の気の緩みが原因で発生している 事前のリスク軽減対策により大半の情報事故は防ぐことができる 4 情報事故が発生した際の影響(1) 情報事故発生による最大の被害者は「児童・生徒、保護者」 児童・生徒、保護者が受ける可能性がある被害 経済的被害 ・悪徳セールス ・いやがらせ(ストーカー行為) ・振り込め詐欺(オレオレ詐欺) ・なりすまし行為(クレジット詐欺) 等 精神的苦痛 個人的な情報を第三者に見られる・扱われる不安感・不快感 家庭の信用を獲得するには長い時間がかかる その信用は一瞬の不注意による情報事故で簡単に失われてしまう 5 情報事故が発生した時の影響(2) 情報事故は事故を起した本人に重大な影響を与える 情報事故は児童・生徒、保護者に多大な損害を及ぼす 事故を起した本人への影響 学校への影響 精神的重圧 信頼の低下 調査・報告対応 事実徹底調査〔本来業務以外の仕事が増〕 保護者へ謝罪(電話・手紙・訪問) 行政からの処分(部下への指導・監督責任含) 刑事被告人⇒刑事罰 ID/Pass変更、各種設定更新等 監督官庁報告(行政指導も含む) 報道発表・公表 民事被告人⇒損害賠償 民事被告人⇒損害賠償 通常業務・作業/各種施策の停止・中止・遅延・延期等 6 (別添)情報事故原因区分の考え方(1) 「2010年情報セキュリティインシデントに関する調査報告書」より (日本ネットワークセキュリティ協会) 7 (別添)情報事故原因区分の考え方(2) 「2010年情報セキュリティインシデントに関する調査報告書」より (日本ネットワークセキュリティ協会) 8
© Copyright 2024 ExpyDoc
