個人情報につける値段

アフラックの個人情報流出事件は約９億円の賠償金が必要

アフラックが１５万件の個人情報を流出させてしまいました。（以下、朝日新聞）

　アメリカンファミリー生命保険（アフラック）は２６日、約１５万人分の顧客の個人情報が入った業務用パソコン１台を紛失したと発表した。顧客の銀行口座や病気に関する情報などは含まれておらず、同社は「パソコンにはパスワードの設定や情報の暗号化がされており、第三者が情報を閲覧することは困難だ」としている。
　パソコンを紛失したのは、同社が販売委託している代理店「ツーサン」（東京都新宿区）の男性社員。紛失したパソコンには、約１５万人分の顧客の名前や住所、生年月日、性別などのほか、保険料や保障額などの契約内容も保存されていた。
　同社によると社員は１７日朝、東武東上線志木駅から電車に乗り、パソコンが入ったカバンを網棚に置いたまま席に座った。池袋駅で降りようとした際、カバンがなくなっていることに気づいたという。池袋署に被害届を出し、カバンは同日中に同線下板橋駅で見つかったが、パソコンはなくなっていた。
　同社は「これまでのところ、パソコンに保存されていた顧客情報にもとづく不正請求や照会などはない」と説明している。問い合わせはアフラックコールセンター（フリーダイヤル０１２０・５０６・４８８）へ。
http://www.asahi.com/national/update/0726/TKY200707260202.html

さてさて、「パスワードの設定や情報の暗号化」がされており「第三者が情報を閲覧することは困難」な情報ですが、もしアフラックがお客さんから訴えられたらいくらの賠償金を払う必要があるのでしょうか？ソフトバンクの個人情報流出から慣例化している500円/人？それともTBCのように1.7万円/人？実は、NPO日本ネットワークセキュリティ協会が「2003年情報セキュリティインシデントに関する調査報告書」で概算金額を計算する公式を提案しているんですね。

損害賠償額＝基礎情報価値×機微情報度×本人特定用意度×社会的責任度×事後対応評価

• 基礎情報価値：５００円
• 機微情報度：（10^x-1+5^y-1）：２～１２５
  X＝精神的苦痛レベル：1,2,3
  Y＝経済的損失レベル：1,2,3
  
  
• 本人特定用意度：1,3,6
  
  
• 社会的責任度：1,2
  
  
• 事後対応評価：1,2
  
  （出典：NPO日本ネットワークセキュリティ協会）
  

この式で、アフラックの個人情報流出事件をみてみますと…

• 基礎情報価値：500円　これは普遍
• 機微情報度：6
  精神的苦痛レベル：1　基本的には氏名などの個人情報だから
  経済的損失レベル：2　保険に関する情報は資産に含まれるから
• 本人特定容易度：1　氏名、住所などが入力されているデータではあるが、パスワードと暗号化をしているため
• 社会的責任度：2　知名度の高い会社かつ個人情報の適正な取扱いしなければならない業種なので
• 事後対応評価：1　事後対応としては警察に通報、調査、公表などを行っているので

これらを全て掛け合わせると、6000円/人が妥当な金額になります。TBCが被害者に支払った賠償金に比べると一人頭の金額は安くつきましたが、流出した件数全てを賠償すると9億円になります。（ちなみにTBCは訴えを起こした14人に対して裁判費用を含めて賠償し、合計115万円（だったかな）を支払いました）もし、盗まれたパソコンにパスワードと暗号化していなければ、本人特定容易度が６レベルになり、3.6万円/人で全員に保証すると54億円になります。全ての人が訴えるわけではないと思いますが、それでも多額の賠償金を支払わさせられることには違いがありません。たかが個人情報、されど個人情報ですね。

アフラック　http://www.aflac.co.jp/news_pdf/2007072600.pdf

当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。