情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 45
ストーリー by hylom
とりあえずくれるだけ欲しいという感じ? 部門より
とりあえずくれるだけ欲しいという感じ? 部門より
IPAが「2018年度情報セキュリティに対する意識調査」報告書を公開している。これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」だった(IPAの発表)。
この設問は「あなたが利用しているサービスにおいて提供側の不適切な運用による情報漏えいが発生した場合、その補償として妥当と考える(お詫びとして納得できる)金額についてそれぞれあてはまるものを選択してください。」というもの。この中で、「クレジットカード情報」「パスポートの情報」「氏名と、住所や電話番号などの連絡先」「氏名と、生年月日や血液型などの個人に関する情報」については「50,0001円以上」が最多となった。一方で「0円(特に補償などは不要)」と答えた人も多い。
また、IDとパスワード、メールアドレス、「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」などについては「0円(特に補償などは不要)」と答えた人が多いという結果となっている。
慰謝料の事例 (スコア:3, 興味深い)
宇治市住民基本台帳データ大量漏洩事件控訴審判決 [law.co.jp]で慰謝料が認められている事例があるようです。
※過去のタレコミ [srad.jp]の参照先の2002年度情報セキュリティインシデントに関する調査報告書 [jnsa.org]より
日本ネットワークセキュリティ協会 [jnsa.org]のサイトを見ると、セキュリティ被害調査WG [jnsa.org]による2017年 情報セキュリティインシデントに関する調査報告書【速報版】 [jnsa.org]が出てますね。
日本の先鞭はYahoo!BBの500円? (スコア:2, すばらしい洞察)
Yahoo! BB顧客情報漏洩事件 [wikipedia.org]
これ確定判決どころか、裁判外の和解でもないんですが、なぜか「情報漏えい=500円」という低廉な相場を醸成したのはこの事件のせいでしょうか?
Yahoo BBが元祖ではなかったりする。 (スコア:3, 興味深い)
500円と言えば、Yahoo BBという印象が強いですが、
その前に、ローソンも流出時に500円金券を送っていたりします。 [sankei.com]
YahooBB個人(一組織?)だけの成果ではなく過去の先人たちの積み重ねにより、
個人情報=500円という状況が確立されたのです。
Re: (スコア:0)
でもまあ、世間に与えた影響としてはYahooBBが一番大きいと思います。
私も元コメントの人と同様にYahooBBが500円という前例を作ったと思っていましたし。
今回の調査も、あの一件から500円が相場という認識が定着されてしまった影響が大きいのではないかと思います。
Re:Yahoo BBが元祖ではなかったりする。 (スコア:1)
確かに、印象に強く残ったからこそ、
その後の、他事例の対応方法に影響を強く与えたとも思います。
ただ彼らは、(おそらくは)個人情報流出の代償として500円が妥当であると初めから考えたいた訳ではなく、
前例があったため、その額に合わせた結果なのではないかと思うのです。
# 口は悪いですが、何処かの告白教会の指導者の言葉に近いことが起こったのではないかと思うのです。
Re: (スコア:0)
その前から流出のお詫び金みたいなのはあったけど
金額は個別だったりもう少し高かったりいろいろあった。
YBBが500円で印象づいているのは、最初の一歩だからでなく
過去最大級の大量流出と、当時としても安めの500円で
すぐさまバラまいた点が大きい
裁判になるともっと安くなる可能性も (スコア:0)
ベネッセの事件は裁判になったら0円の判決が出続けてますね。
最高裁が差し戻しても、地裁や高裁は0円査定。
ベネッセ事件は 3300円 ですよ (スコア:2, 参考になる)
3300円ですよ
ちなみに、漏えいした情報は下記の通り
・保護者氏名
・子供氏名
・子供性別
・子供生年月日
・住所
・電話番号
・出産予定日(一部サービス利用者のみ)
・メールアドレス(一部サービス利用者のみ)
ベネッセ情報流出、1人3300円賠償命令 東京地裁判決 [nikkei.com]
2018/12/27 18:12 の記事
成績とか学歴とか医療情報とか性的指向は含まれていないので、賠償額3300円は妥当だと思いますね
Re:裁判になるともっと安くなる可能性も (スコア:2)
破棄自判ではなく、破棄差し戻しでも、差し戻された下級審 [wikipedia.org]に「下級審」としての職責というか意地が…あればよいのですが…
Re: (スコア:0)
大きく取り上げられた事件では住基ネットのデータ流出があったはず
記憶が確かならその際に金銭での補償は無かったような
どういう設問だったんだろう? (スコア:1)
通常、機微情報とみなされるような「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」が0円最多というのは信じがたいのだけど、どういう設問だったんでしょう?
IPAの報告書 https://www.ipa.go.jp/files/000070256.pdf [ipa.go.jp] を見る限りだと、それらが単体(ユーザIDとすら紐付かない、趣味嗜好だけのリストとか)で漏れた場合と見てるんでしょうかね。
Re: (スコア:0)
個人情報保護法では
・人種
・信条
・社会的身分
・病歴
・犯罪の経歴
・犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの
を「要配慮個人情報」と定義してるしねぇ
アンケートに答えたのが病気に縁がない健康な人ばかりだったのかも
犯罪に無縁な人がレイプ被害者の個人情報なんて気にも留めないのと一緒かな?
漏洩自体に保証は必要ない。 (スコア:1)
ただし、情報漏洩のために実際に発生した損害に対する補償は当然必要だと思います。
あと、情報漏洩に対する補償を受け取った時点で、それ以降に発生する実際の損害に対する補償は免責となるのでは?
Re: (スコア:0)
つまり、漏洩した情報は使われない限り損害がないため保証されない。
ということは、アングラでやりとりされて、数年後に不正利用された場合も
時間差があっただけで、被害が出たということで保証してくれるわけですね。
素晴らしい。
Re: (スコア:0)
>時間差があっただけで、被害が出たということで保証してくれるわけですね。
そこは法律次第では?
勝手に時効を決めてかかってるけど、
・時効は認めない
・無過失責任を問う
・補償の上限は認めない
この3つは最低限必要
補償の上限は認めないけど補償すべき範囲は定めなくちゃならないだろう
Re: (スコア:0)
しかし漏洩ってそういう状況を予測出来るからこそ問題になるのでは。
Re: (スコア:0)
金よりも刑事面での罰則をしっかりしてほしい。
現場レベルの切り捨てじゃなくて経営陣が対象になるやつ。
漏洩した個人情報の人数×懲役10日(上限なしの青天井)を、常務以上の経営陣で按分、みたいな設定にしとけば、サイバーノーガード戦法をやる企業はなくなると思うんだ。
# 流石に極論なのは承知だけど、どうせ情報の対価なんて安く見積もられる国だしね、訴訟制度的に
Re: (スコア:0)
会社代表者(代表取締役○○)個人に罪を問うような法律ができたとしても、裁判になれば
・当時は知る立場になかった
・担当専務に任していたので十分理解してなかった
・先代からの引き継ぎで初めて知った。自分がかかわったのは数箇月…
みたいな理屈で簡単に回避できそうですね
だから法人は法人格に対して罪を問うしかない
現場担当者の違法行為に対して法人格にも罪を問う両罰規定を備えた法律は沢山あるけど、それでは納得しないんだよね?
刑法ができて100年の歴史が有るので、罪に対する罰にも相場観がある
自動車運転処罰法のように既存の道交法の罰では生ぬるいと新たに法律を作るケースもなくはないれど、世論の後押しがないと難しいと思う
肝心の世論が個人情報の漏洩に甘々な結果をみると実現は難しそう
Re: (スコア:0)
・当時は知る立場になかった
・担当専務に任していたので十分理解してなかった
・先代からの引き継ぎで初めて知った。自分がかかわったのは数箇月…
みたいな理屈で簡単に回避できそう
そういう理屈で逃げられないよう、機械的に役職で判定すれば良い、という話では?
個人情報保護のコストもリスクも現場に押しつけて利益だけ吸い上げ、事故ったら「私達も被害者です」みたいなツラして現場だけに詰め腹切らせる輩への抑止にはなるわな。副作用もあるけど。
Re: (スコア:0)
人殺したって情状酌量されるのに、どんな極悪人だよw
Re: (スコア:0)
情状酌量の有無と責任(処罰対象)の話は全く関係ないのに、何言ってるんだお前。
Re: (スコア:0)
そうならないようにサイバーセキュリティ経営ガイドライン [meti.go.jp]を法制化しちゃえばいいんだよ。
Re: (スコア:0)
どこから漏れたものか証明できないから無理では。
基本、情報は漏れまくるもんだし、損害を受けた時に、最も直近に漏らしたところに責任を取らせるのか。
実際は別のとこで漏洩したものを利用したのかもしれなくても。
Re: (スコア:0)
「取りやすい処から取る」は損害賠償請求の定石ですよ。
Re: (スコア:0)
一度補償を受けたらその後の追加被害による補償権を失うようでは、実被害による補償を否定しているも同然ですよ。
それなら実被害ではなく将来想定される被害も加味しなきゃならなくなります。
Re: (スコア:0)
年金みたいな損失引当みたいな制度かな
漏らしちゃったヤツが件数と悪質性に応じて将来発生するであろう被害者救済用の賠償を用意しとく
利権化、ナントカ(寄生)協会みたいなんを生じない仕組みが有ればだけど
Re: (スコア:0)
利権化、ナントカ(寄生)協会みたいなんを生じない仕組みが有ればだけど
そのトップに孫某が
憑いて就いて、他所から金集めて自分とこのお漏らしのケツ拭かせる未来しか見えない。Re: (スコア:0)
そういうのがアリなら、漏洩した情報の全てを消す義務を負わせるでもいいな。
IDとパスワードの漏洩が0円とは? (スコア:0)
具体的に発生した被害には個別に補償される前提ってことかしら。
Re: (スコア:0)
そのままの意味でしょうね。IDとパスワードが漏洩した結果他の情報が芋づるで漏洩するなら損害が発生する。そうならなければ0円。
パスワード使い回しによる連鎖漏洩がサービス提供側の責に問われる可能性はちょっと低いですね。
ストーカーの被害に遭って引っ越しを余儀なくされたら (スコア:0)
とてもこの金額じゃ割りに合わないよね〜。
#でも証明する方が難しいか
Re: (スコア:0)
まさかストーカーを法廷に連れてくるわけにもいかんしなぁ
Re: (スコア:0)
ストーカーに関しては漏洩された情報からストーキングする相手を選ぶようなことってあんまないんじゃね?
Re: (スコア:0)
ストーカーは犯罪例で、実際は個人情報を集めれば様々な犯罪に利用できるわけで、割に合わないのは犯罪被害の常でしょう。
とりあえずそのアンケート者の名簿を漏洩してはいかがか? (スコア:0)
セリでも開いたらもの凄い高値で893屋さんとかが買ってくれそう
これだけ意識低い人達だったらオレオレ詐欺なんて入れ食い状態でしょ
「0円(特に補償などは不要)」と答えた人の名簿だけでいいよね
というかむしろそれ以外のリストは893屋さん的にはノイズ
Re: (スコア:0)
個人情報漏洩に対する意識の高さはオレオレ詐欺に引っかかるかどうかは関係ないでしょ。
逆に意識の高さを逆手に取った「個人情報削除します詐欺」というのもあるので。
https://www.shiruporuto.jp/public/document/container/damasarenai/watad... [shiruporuto.jp]
Re: (スコア:0)
0円と答えた人の中には「補償でどうにかなると思うなよ」という人も含まれていると思うんですが
Re: (スコア:0)
そういう人が「1/0=0」とかいう糞を子供に教えるんだな。
消費者としては最大額を要求するだろ (スコア:0)
Re: (スコア:0)
言うだけならコストかからないけど普通は職責が果たせないならば当該経営者にならない。
それもまた知恵。
Re: (スコア:0)
そこで日本伝統のハラキリですよ。
Re: (スコア:0)
これ。要するに、クズは潰れてくれということ。
Re: (スコア:0)
人権屋のせいで自然に淘汰されるはずだった人間が生きて税金や他人の金を使っている。社会主義に良いことないね
そもそも個人情報の定義って (スコア:0)
個人を特定できる情報と結びついてることが前提じゃなかったっけ?
本人を特定できないデータに漏洩もへったくれもなくない?
お店の帳簿が仮に流出したってそれは客の注文履歴でもあるけど
店に損害があっても客個人にはなんの損害もないよね?