情報セキュリティ事故

■情報セキュリティ事故

セキュリティ対策が大事であると認識している中でも、情報セキュリティ事故は毎日のように起こってしまっています。
ここで情報セキュリティ事故の例をあげてみます。

・情報漏洩
一般的によくニュースになっている事故がこの情報漏洩・情報流出です。紛失や盗難・盗聴、誤配送などにより社内の機密情報や顧客情報が流出することです。それから、自宅パソコンにインストールされた共有ソフト「Wｉｎｎｙ（ウイニー）」等のウイルス感染により、同パソコン内にあった会社の情報資産が流出してしまうという例もあります。これにより、利益の喪失やお客様の信頼がなくなってしまいます。

・情報改ざん
外部からネットワークへの不正侵入により、ホームページの内容（公開情報・ネットショップ提示価格など）を書き換えられてしまうことです。お客様からの信用失墜、会社としてのイメージダウンとなります。従業員のケアレスミスによる悪意のない情報の改ざんであっても、自社内損害やお客様の信用失墜につながることもあります。

・コンピュータウイルス感染
社内のパソコンにウイルスが感染し、マシンがダウンしてしまいます。これにより業務が停止し売り上げ機会の損失や復旧に要する人件費などの直接的な被害がおこります。また、ウイルス感染に気づかずにメール送信した結果、社内だけでなくお客様にまでウイルスをばらまいてしまうという、被害者のつもりが加害者になってしまうケースが増えてきています。

・サービス停止
サービス停止の要因となるのはいろいろと考えられます。ＤＯＳ攻撃（サーバに処理能力以上の不正なデータを送信させ大きな負荷を与える行為）によりサーバがダウンしてしまったり、システムの不具合により業務が停止してしまったり、自然災害（地震、台風、落雷、洪水、火災等）によりデータが破壊・消滅したり、前項に述べたようなウイルス感染によりシステムが停止してしまうなどです。それにより、サービス復旧させるための費用がかかり、またオンラインショッピングシステムでの売り上げ機会の喪失する可能性が出てきます。

セキュリティ対策が大事であると認識している中でも、情報セキュリティ事故は毎日のように起こってしまっています。もしも、情報セキュリティ事故を起こしてしまうと、お客様に対しての損害賠償や自社内での直接損害、また信頼の失墜につながるのです。このような事故が起こらないように組織全体のマネジメントによって回避していかなければなりません。
たとえば、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)によると、ウイルス届出件数とコンピュータ不正アクセスの届出状況は下記のとおりです。

◎ウイルス届出件数

※独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) ホームページの「コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について」より引用

2003年の合計届出件数は17,425件でしたが、2004年には52,151件、2005年には54,174件と増え続けています。2006年は1月から9月までの届出ですが、すでに34､268件に達しています。この届出の90％以上が一般法人ユーザからのものであり、感染経路としてはメールにより感染したケースが95％以上となっているそうです。

2006年4月から9月までの半年間で、不正アクセス届出件数は合計161件であり、その内なんらかの被害にあった件数は92件となっています。その被害の内容とは、Ｗｅｂページやサーバ内データの改ざん、他サイト攻撃（Ｄｏｓ）やスパムメール発信の踏み台になっていたものなどがあります。それらの原因となるのが、ＩＤ・パスワード管理不備、古いバージョン使用・パッチ未導入などです。

また、財団法人日本情報処理開発協会（ＪＩＰＤＥＣ）のプライバシーマーク事務局によると、個人情報の取り扱いにおける事故の報告は下記のとおりです。

◎個人情報の取り扱いにおける事故報告件数

※JIPDECホームページ『平成17年度の個人情報の取り扱いにおける事故報告にみる傾向と注意点』[2006.07.10]より引用

平成17年度の1年間に、プライバシーマーク認定事業者、申請中事業者、申請検討中事業者からの個人情報の取り扱いにおける事故等の報告は、382社より554件あったそうです。
なお、事故等は自社内だけでなく、委託先、代理店、子会社、協力会社、提携先等においても、554件のうち103件が発生しています。
事故の内容を見てみると、誤配送等（誤配送、誤封入、誤送付、印刷ミス等）の結果、漏洩したというのが全体の70％以上を占めています。