スキップしてメイン コンテンツに移動

個人情報につける値段

アフラックの個人情報流出事件は約9億円の賠償金が必要


アフラックが15万件の個人情報を流出させてしまいました。(以下、朝日新聞)

 アメリカンファミリー生命保険(アフラック)は26日、約15万人分の顧客の個人情報が入った業務用パソコン1台を紛失したと発表した。顧客の銀行口座や病気に関する情報などは含まれておらず、同社は「パソコンにはパスワードの設定や情報の暗号化がされており、第三者が情報を閲覧することは困難だ」としている。
 パソコンを紛失したのは、同社が販売委託している代理店「ツーサン」(東京都新宿区)の男性社員。紛失したパソコンには、約15万人分の顧客の名前や住所、生年月日、性別などのほか、保険料や保障額などの契約内容も保存されていた。
 同社によると社員は17日朝、東武東上線志木駅から電車に乗り、パソコンが入ったカバンを網棚に置いたまま席に座った。池袋駅で降りようとした際、カバンがなくなっていることに気づいたという。池袋署に被害届を出し、カバンは同日中に同線下板橋駅で見つかったが、パソコンはなくなっていた。
 同社は「これまでのところ、パソコンに保存されていた顧客情報にもとづく不正請求や照会などはない」と説明している。問い合わせはアフラックコールセンター(フリーダイヤル0120・506・488)へ。
http://www.asahi.com/national/update/0726/TKY200707260202.html

さてさて、「パスワードの設定や情報の暗号化」がされており「第三者が情報を閲覧することは困難」な情報ですが、もしアフラックがお客さんから訴えられたらいくらの賠償金を払う必要があるのでしょうか?ソフトバンクの個人情報流出から慣例化している500円/人?それともTBCのように1.7万円/人?実は、NPO日本ネットワークセキュリティ協会が「2003年情報セキュリティインシデントに関する調査報告書」で概算金額を計算する公式を提案しているんですね。


損害賠償額=基礎情報価値×機微情報度×本人特定用意度×社会的責任度×事後対応評価
  • 基礎情報価値:500円
  • 機微情報度:(10^x-1+5^y-1):2~125
    X=精神的苦痛レベル:1,2,3
    Y=経済的損失レベル:1,2,3

  • 本人特定用意度:1,3,6

  • 社会的責任度:1,2

  • 事後対応評価:1,2

    (出典:NPO日本ネットワークセキュリティ協会)
この式で、アフラックの個人情報流出事件をみてみますと…
  • 基礎情報価値:500円 これは普遍
  • 機微情報度:6
    精神的苦痛レベル:1 基本的には氏名などの個人情報だから
    経済的損失レベル:2 保険に関する情報は資産に含まれるから
  • 本人特定容易度:1 氏名、住所などが入力されているデータではあるが、パスワードと暗号化をしているため
  • 社会的責任度:2 知名度の高い会社かつ個人情報の適正な取扱いしなければならない業種なので
  • 事後対応評価:1 事後対応としては警察に通報、調査、公表などを行っているので
これらを全て掛け合わせると、6000円/人が妥当な金額になります。TBCが被害者に支払った賠償金に比べると一人頭の金額は安くつきましたが、流出した件数全てを賠償すると9億円になります。(ちなみにTBCは訴えを起こした14人に対して裁判費用を含めて賠償し、合計115万円(だったかな)を支払いました)もし、盗まれたパソコンにパスワードと暗号化していなければ、本人特定容易度が6レベルになり、3.6万円/人で全員に保証すると54億円になります。全ての人が訴えるわけではないと思いますが、それでも多額の賠償金を支払わさせられることには違いがありません。たかが個人情報、されど個人情報ですね。

アフラック http://www.aflac.co.jp/news_pdf/2007072600.pdf

当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

利用目的の特定について

×マーケティング活動のために個人情報を収集します  利用目的の特定について、少しおもしろいネタを仕入れましたので、そのお話をいたします。  個人情報保護法において個人情報の利用目的は法定公表事項になっており、本人に対して「当社は、個人情報をこれこれこう言う目的で取得していますよ」とお知らせする義務があります。なので、個人情報を取り扱う事業者さんでは利用目的を特定しなくちゃいけないわけです。例えば、『通信販売事業において商品をお客様に発送に利用するため個人情報を取得しております』とかですね。  ただ、注意する点がありまして、『曖昧な利用目的は特定したとは判断されない』という事です。上段の例のように、詳しく書かないとだめだと言うことです。その事柄に関して、経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 概要』に利用目的を特定できていない例が上げられています。 【具体的に利用目的を特定していない事例】「事業活動に用いるため」、「提供するサービスの向上のため」、「マーケティング活動に用いるため」http://www.tohoku.meti.go.jp/joho/kojinjyohohogoho.htm  『マーケティング活動』では漠然としているので、利用目的を特定したことにはなりません。つまり、マーケティング活動を理由に個人情報保護を収集している事業者さんは個人情報保護法に違反しているとみなせます。  さて、ここからが本日の本題です。Googleで、企業の個人情報の利用目的を検索すると『マーケティング活動のため個人情報を取得します』という会社が幾つかでてくるんですね。誰がどう作ると、こんなプライバシーポリシーになるのか謎です。私の想像の域を出ませんが、法律を誤解した人がプライバシーポリシーを作成し、それをみんながコピーしたのではないかと考えています。プライバシーポリシーを作る際に、他社のプライバシーポリシーをコピー&ペーストで作ることも多いかと思います。著作権法違反になる可能性もあるので、おすすめはしませんが、できるだけ内容のしっかりしたプライバシーポリシーを参考にしてください。 個人情報保護法における利用目的の特定について 利用目的の特定:第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目...
コメントを投稿
続きを読む

経済産業省の個人情報保護政策ページ 紹介

経済産業省の個人情報保護政策ページはとても見つけにくくなっています。 経済産業省オフィシャル検索バーの制度もいまいちですし。 中小企業経営の個人情報保護については コチラ をご覧下さい。 今更な感じですが、個人情報保護ガイドラインは法律ではありません。 が、これに違反していると各省庁は個人情報保護法違反だと判断し、ペナルティを課すそうです。 少しおかしい話ですが、ガイドラインも法律です。
コメントを投稿
続きを読む

個人情報保護法

法律ってのは、次のような体系になっています。 憲法>法律>法令(省令・政令)>規則    各県の条例>各県の規則    ※各県の条例で法律をより厳しくしていたりする上乗せ規定などもがあります     だいたいは法律と同等の内容がかかれていることが多いです 個人情報保護法も例に埋もれず、この流れになっています。 個人情報保護法の条文を見たければ、 コチラのWebサイト をご覧下さい。
コメントを投稿
続きを読む