多様化するサイバー攻撃の手口により、企業の個人情報漏洩事故の発生はいまだに後を絶ちません。
ただ実は、サイバー攻撃が原因の事例を含む企業の個人情報漏洩事故の推移を見てみると、少しずつ下降していると言われています。
実際はどちらが正しいのかを検証していきましょう。
サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移を見ると下降している?
2017年、“JNSA(日本ネットワークセキュリティ協会”によって、サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移が発表されました。
そのデータに見ると、日本国内におけるサイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は、2014年から2016年でかなり下降していることがわかります。
このデータ自体は、“企業が多様化するサイバー攻撃への対策をうまく取っている”と考えれば、決して不自然なものではありません。
ただ他の機関が発表したデータを見てみると、軒並みサイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は“上昇している”とされています。
ではJNSAが発表したデータでは、なぜサイバー攻撃が原因の事例を含む個人情報漏洩事故の推移が下がっていると発表されたのでしょうか?
参考:https://www.jnsa.org/result/incident/data/2016incident_survey_ver1.2.pdf
サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は“本当は”下降していない
JNSAによって発表された、サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は、“本当は”下降していません。
どういう意味か説明しましょう。
統計データというものには、サイバー攻撃に被害に遭ったことがわかっていても、具体的にどんな情報が盗まれたかわからないケースが含まれていません。
また盗まれた情報がどんなものかわかっていたとしても、それが個人情報ではない場合は弾かれてしまいます。
もっと言えば、企業はサイバー攻撃の被害を受けているにも関わらず、それにすら気づいていないというケースもあります。
つまりJNSAが発表した、サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は、“報告された事例”しか反映されていないのです。
したがって推移が下がっているように見えているだけであり、“本当は”下降していないと言えるのです。
あとは、単純にネット経由でない個人情報漏洩事故が減少しているだけで、ネット経由の事故はまったく減っていないということも考えられます。
サイバー攻撃の多様化には、企業による対策が難しくなるだけでなく、被害にあったと認識するのが遅れるという怖さもあります。
個人情報が盗み出され、ダークウェブで売買されていることを、何ヶ月、何年も気付かずに過ごしている企業も少なくないと言われています。
まとめ
サイバー攻撃が原因の事例を含む個人情報漏洩事故の推移は、統計データだけを見て上昇傾向か下降傾向かを判断するのが難しくなっています。
最近では仮想通貨のマイニングをターゲットにしたサイバー攻撃が流行するなど、新しい手口が増加していることは明らかです。
企業は、個人情報漏洩事故を起こさないためにデータを参考にするのも良いですが、第三者認証制度の“JAPHIC(ジャフィック)マーク”などを取得し、自社の身は自社で守ると考える方が賢明でしょう。
