infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

教室一つで100万円!情報流出事件で明るみになる個人情報の価値

流出する個人情報、一人あたり一体おいくら?

情報流出事件が増え続けることによって、複数の損害賠償事例が起きています。また企業や団体はコストと相談しながら情報セキュリティを高めていく必要があります。

そうした時に争点になるのが、”一人当たりの個人情報の価値っておいくら?”ということです。当たり前と思われるかも知れませんが、例えば首相と一般人では当然ながら個人情報の価値が変わってきます。

他にも企業の経営者や政治団体のキーパーソンなど、お金や地位のある人間の個人情報は連動して個人情報にも高値が付きます。

しかしそのような変動を抜きにして、平均的に一人当たりの個人情報の価値はいくらなのかを検証してみたいと思います。

スポンサーリンク

 

ケース1:日本ネットワークセキュリティ協会(JNSA)による2013年度調査結果

f:id:rk12liv:20160202121638p:plain

出典:JNSA日本ネットワークセキュリティ協会

2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

2013年度の数字が例年より2万円ほど低いのが気になりますが、基本的には2万円から5万円のレンジ内に収まるというのが実情のようです。これは各情報流出事件ごとの損害賠償金額と被害人数を元に割り出した数値だということです。

一人当たり2万円から5万円というのは結構、大きな額だと思います。100万人のユーザーが存在するサービスを運営している場合、集まる個人情報の価値はレンジ内最低値でもなんと200億円にも及びます。

つまり100万人分のユーザーの個人情報を流出させてしまえば、損害賠償金額は200億円近くになる可能性があるということです。

実際問題として明らかになっている情報流出事件だけでも、年間の損害賠償金額は1000億円を超えるペースで推移していますから、驚くほどのことではないかも知れません。

ケース2:英銀行Barclaysによる情報漏えい事件の補填金額

英国の代表的な銀行Barclaysにおいて、7年間も情報が流出し続けていた問題。氏名や住所だけでなく、年収や職業などといったかなりプライバシー性の高い情報も駄々漏れになっていたそうです。

これだけの流出事件ですが、Barclaysは一人当たり250ポンドの保証金額を提示し、顧客を激怒させたといいます。250ポンドといえば現在のレートで大体43000円となり、ケース1でのレンジ中央金額とかなり近いことが伺えます。

これだけ有名な銀行ですから、保証金額に関しては練りに練ったと思われ、そのためBarclaysの示した250ポンドという数字の説得力は高いでしょう。

スポンサーリンク

 

ケース3:IBMの漏えい情報1件あたりの値段発表

IBMは公式発表で以下のように述べています。

The study found the average consolidated total cost of a data breach is $3.8 million representing a 23% increase since 2013. The study also reports that the cost incurred for each lost or stolen record containing sensitive and confidential information increased six percent from a consolidated average of $145 to $154.

流出した情報一つあたりに対して、154ドル、約2万円のコストとなっています。これもケース1やケース2での金額と大きく離れているわけではなく、ケース1での2万円~5万円というレンジは中々正確なものだろうと推測できます。

賠償金額と売却金額について

当然といえば当然なんですが、賠償金額が2万円から5万円のレンジ内だからといって個人情報が2万円から5万円で売れるとは限りません。冒頭でもお伝えしたとおり情報の価値は個人によって変わる上、金融関係の情報でなければたいした値段にならないこともよく知られています。

[INFOGRAPHIC] Know Your Enemies Online | Malware Blog | Trend Microのインフォグラフィックによれば、

1. アメリカ国内でのクレジットカード番号が1~3ドル(120円~360円)

2. アジア圏でのクレジットカード番号が6~10ドル(720円~1200円)

3. 銀行口座の情報(認証情報つき)で25~35ドル(3000円~4200円)

とのことなので、一人あたりの個人情報の売却金額は賠償金額よりはるかに小さいようです。賠償はその情報そのものの価値だけではなく、流出させてしまった過失やオープンにしてしまった危険性や精神的苦痛など全て含めるべき金額でしょうから、もちろん売却金額より高くなるのは自然です。

ちなみにGmailのアカウント情報は2500件集めたところで30万円にしかならないんだそうです。賠償金額だと3万円だとして7500万円なのに・・・です。

まとめ

個人情報の価値は、平均的に一人当たり3万円が一つの目安になるでしょう。もちろんこの数字がそのまま流出した個人に支払われるわけではないことは、念頭に置く必要があります。

この数字が一律でかけられた場合AdobeやSonyといった大規模な情報流出事件を経験した企業は実に兆単位での賠償を求められることになるからです。実際にそのような金額の賠償命令が下されることは少ないはずです。

しかし、リスク分析を行う際に個人情報を軽く扱ってしまう、もしくは個人情報の価値を考慮に入れなかった場合は想定外の事態が起きた際に会社が潰れかねないほどのインパクトを起こすことがあるのです。

一人あたり3万円という金銭的なダメージ、ユーザーや世間からの信用失墜などその影響は計り知れません。一つの教室に33人の生徒と一人の教師が居たら、その個人情報はなんと100万円を超えます。

100万人のユーザーサービスなら、”200億円もの価値がある情報を扱っているんだ”というように高い意識で情報セキュリティについて考え、対策して欲しいものです。

 合わせて読みたい