先日お客様先で個人情報が漏えいした場合に一番問題になるのが、賠償金として1人に対していくら払わなければならないのか?という質問をいただきましたので、今回のブログでは個人情報の金銭的価値について少しお話します。
昔であればYahoo!BBの情報漏えいでの1人あたり500円が1つの基準になっていたかと思いますし、宇治市の情報漏えいがあった時などは裁判で1人あたり1万円の賠償が認められました。
漏えいした個人情報の内容によってもちろん賠償金が変わるので上記の金額も基準には出来ますがそのままその金額を採用することはできないかと思います。
個人情報の価値の算出
JNSA NPO日本ネットワークセキュリティ協会が発表している「情報セキュリティインシデントに関する調査報告書」には個人情報漏えいにおける想定損害賠償額の算出モデルとして想定損害賠償金額の算出が出来る計算式等が掲載されています。
この報告書内では漏えいした個人情報の価値を下記の算出式で示しています。
漏えい個人情報価値=基礎情報価値×機微情報度×本人特定容易度
基礎情報価値:一律で500が入ります。
機微情報度:10(X-1)乗+5(Y-1)乗(※X:精神的苦痛レベル、Y:経済的損出レベル)
本人特定容易度:個人が簡単に特定可能であれば6(住所、名前が含まれる)、コストをかければ特定出来る場合は3(氏名まは住所+電話番号が含まれる)、特定困難であれば1を入れることになります。
個人を簡単に特定可能な情報が漏れたことを想定し、XとY以外を算出式に入れると式は下記のような形になります。
漏えい個人情報価値=500×(10(X-1)乗+5(Y-1)乗)×6
X、Yには漏えいした個人情報の内容が含まれてくるのですが、「情報セキュリティインシデントに関する調査報告書」内では上記のような図で表現されています。
※参照:JNSA NPO日本ネットワークセキュリティ協会が発表している「2010年情報セキュリティインシデントに関する調査報告書」
図を参考に計算すると、例えば年収、資産内容、残高、借金、所得、借り入れ記録が漏えいした場合X=2 Y=2となります。
これを上記の算出式に当てはめると
漏えい個人情報価値=500×(10(2-1)乗+5(2-1)乗)×6となり、漏えいした個人情報の価値は45,000円となります。
もちろんこれは1人の個人情報の金銭価値なので100人漏えいしてしまえば100倍になります。
実際にはこの個人情報の価値に事後対応評価や社会的責任の基準等を当てはめて最終的なその漏えいに対しての賠償金額を算出することになりますし、この金額にはなんも法的拘束力もありませんから、1つの基準として考えて頂きたく思います。
ただ、この算出式を参考にしてもらい、一度自社が取得している個人情報の金銭的価値を見ることで今の管理策が本当に適切なレベルなのかなどこれまでの自社の基準や考え方を見直す際の参考になれば幸いです。
