パスワードを忘れた? アカウント作成
13803894 story
情報漏洩

情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 45

ストーリー by hylom
とりあえずくれるだけ欲しいという感じ? 部門より

IPAが「2018年度情報セキュリティに対する意識調査」報告書を公開している。これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」だった(IPAの発表)。

この設問は「あなたが利用しているサービスにおいて提供側の不適切な運用による情報漏えいが発生した場合、その補償として妥当と考える(お詫びとして納得できる)金額についてそれぞれあてはまるものを選択してください。」というもの。この中で、「クレジットカード情報」「パスポートの情報」「氏名と、住所や電話番号などの連絡先」「氏名と、生年月日や血液型などの個人に関する情報」については「50,0001円以上」が最多となった。一方で「0円(特に補償などは不要)」と答えた人も多い。

また、IDとパスワード、メールアドレス、「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」などについては「0円(特に補償などは不要)」と答えた人が多いという結果となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by coolguy (4034) on 2018年12月28日 22時06分 (#3541191) ホームページ 日記
  • by marute (13883) on 2018年12月28日 20時20分 (#3541142) 日記

    Yahoo! BB顧客情報漏洩事件 [wikipedia.org]
    これ確定判決どころか、裁判外の和解でもないんですが、なぜか「情報漏えい=500円」という低廉な相場を醸成したのはこの事件のせいでしょうか?

    • 500円と言えば、Yahoo BBという印象が強いですが、
      その前に、ローソンも流出時に500円金券を送っていたりします。 [sankei.com]

      YahooBB個人(一組織?)だけの成果ではなく過去の先人たちの積み重ねにより、
      個人情報=500円という状況が確立されたのです。

      親コメント
      • by Anonymous Coward

        でもまあ、世間に与えた影響としてはYahooBBが一番大きいと思います。
        私も元コメントの人と同様にYahooBBが500円という前例を作ったと思っていましたし。

        今回の調査も、あの一件から500円が相場という認識が定着されてしまった影響が大きいのではないかと思います。

        • 確かに、印象に強く残ったからこそ、
          その後の、他事例の対応方法に影響を強く与えたとも思います。

          ただ彼らは、(おそらくは)個人情報流出の代償として500円が妥当であると初めから考えたいた訳ではなく、
          前例があったため、その額に合わせた結果なのではないかと思うのです。

          # 口は悪いですが、何処かの告白教会の指導者の言葉に近いことが起こったのではないかと思うのです。

          親コメント
      • by Anonymous Coward

        その前から流出のお詫び金みたいなのはあったけど
        金額は個別だったりもう少し高かったりいろいろあった。

        YBBが500円で印象づいているのは、最初の一歩だからでなく
        過去最大級の大量流出と、当時としても安めの500円で
        すぐさまバラまいた点が大きい

    • ベネッセの事件は裁判になったら0円の判決が出続けてますね。
      最高裁が差し戻しても、地裁や高裁は0円査定。

    • by Anonymous Coward

      大きく取り上げられた事件では住基ネットのデータ流出があったはず
      記憶が確かならその際に金銭での補償は無かったような

  • by Anonymous Coward on 2018年12月28日 18時30分 (#3541107)

    通常、機微情報とみなされるような「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」が0円最多というのは信じがたいのだけど、どういう設問だったんでしょう?
    IPAの報告書 https://www.ipa.go.jp/files/000070256.pdf [ipa.go.jp] を見る限りだと、それらが単体(ユーザIDとすら紐付かない、趣味嗜好だけのリストとか)で漏れた場合と見てるんでしょうかね。

    • by Anonymous Coward

      個人情報保護法では
       ・人種
       ・信条
       ・社会的身分
       ・病歴
       ・犯罪の経歴
       ・犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの
      を「要配慮個人情報」と定義してるしねぇ
      アンケートに答えたのが病気に縁がない健康な人ばかりだったのかも
      犯罪に無縁な人がレイプ被害者の個人情報なんて気にも留めないのと一緒かな?

  • 情報が漏れただけで補償する必要はないと思います。

    ただし、情報漏洩のために実際に発生した損害に対する補償は当然必要だと思います。

    あと、情報漏洩に対する補償を受け取った時点で、それ以降に発生する実際の損害に対する補償は免責となるのでは?
    • by Anonymous Coward

      つまり、漏洩した情報は使われない限り損害がないため保証されない。

      ということは、アングラでやりとりされて、数年後に不正利用された場合も

      時間差があっただけで、被害が出たということで保証してくれるわけですね。

      素晴らしい。

      • by Anonymous Coward

        >時間差があっただけで、被害が出たということで保証してくれるわけですね。
        そこは法律次第では?
        勝手に時効を決めてかかってるけど、
         ・時効は認めない
         ・無過失責任を問う
         ・補償の上限は認めない
        この3つは最低限必要
        補償の上限は認めないけど補償すべき範囲は定めなくちゃならないだろう

      • by Anonymous Coward

        しかし漏洩ってそういう状況を予測出来るからこそ問題になるのでは。

    • by Anonymous Coward

      金よりも刑事面での罰則をしっかりしてほしい。
      現場レベルの切り捨てじゃなくて経営陣が対象になるやつ。

      漏洩した個人情報の人数×懲役10日(上限なしの青天井)を、常務以上の経営陣で按分、みたいな設定にしとけば、サイバーノーガード戦法をやる企業はなくなると思うんだ。

      # 流石に極論なのは承知だけど、どうせ情報の対価なんて安く見積もられる国だしね、訴訟制度的に

      • by Anonymous Coward

        会社代表者(代表取締役○○)個人に罪を問うような法律ができたとしても、裁判になれば
         ・当時は知る立場になかった
         ・担当専務に任していたので十分理解してなかった
         ・先代からの引き継ぎで初めて知った。自分がかかわったのは数箇月…
        みたいな理屈で簡単に回避できそうですね
        だから法人は法人格に対して罪を問うしかない
        現場担当者の違法行為に対して法人格にも罪を問う両罰規定を備えた法律は沢山あるけど、それでは納得しないんだよね?
        刑法ができて100年の歴史が有るので、罪に対する罰にも相場観がある
        自動車運転処罰法のように既存の道交法の罰では生ぬるいと新たに法律を作るケースもなくはないれど、世論の後押しがないと難しいと思う
        肝心の世論が個人情報の漏洩に甘々な結果をみると実現は難しそう

        • by Anonymous Coward

           ・当時は知る立場になかった
           ・担当専務に任していたので十分理解してなかった
           ・先代からの引き継ぎで初めて知った。自分がかかわったのは数箇月…
          みたいな理屈で簡単に回避できそう

          そういう理屈で逃げられないよう、機械的に役職で判定すれば良い、という話では?
          個人情報保護のコストもリスクも現場に押しつけて利益だけ吸い上げ、事故ったら「私達も被害者です」みたいなツラして現場だけに詰め腹切らせる輩への抑止にはなるわな。副作用もあるけど。

          • by Anonymous Coward

            人殺したって情状酌量されるのに、どんな極悪人だよw

            • by Anonymous Coward

              情状酌量の有無と責任(処罰対象)の話は全く関係ないのに、何言ってるんだお前。

        • by Anonymous Coward

          そうならないようにサイバーセキュリティ経営ガイドライン [meti.go.jp]を法制化しちゃえばいいんだよ。

    • by Anonymous Coward

      どこから漏れたものか証明できないから無理では。
      基本、情報は漏れまくるもんだし、損害を受けた時に、最も直近に漏らしたところに責任を取らせるのか。
      実際は別のとこで漏洩したものを利用したのかもしれなくても。

      • by Anonymous Coward

        「取りやすい処から取る」は損害賠償請求の定石ですよ。

    • by Anonymous Coward

      一度補償を受けたらその後の追加被害による補償権を失うようでは、実被害による補償を否定しているも同然ですよ。
      それなら実被害ではなく将来想定される被害も加味しなきゃならなくなります。

    • by Anonymous Coward

      年金みたいな損失引当みたいな制度かな
      漏らしちゃったヤツが件数と悪質性に応じて将来発生するであろう被害者救済用の賠償を用意しとく
      利権化、ナントカ(寄生)協会みたいなんを生じない仕組みが有ればだけど

      • by Anonymous Coward

        利権化、ナントカ(寄生)協会みたいなんを生じない仕組みが有ればだけど

        そのトップに孫某が憑いて就いて、他所から金集めて自分とこのお漏らしのケツ拭かせる未来しか見えない。

    • by Anonymous Coward

      そういうのがアリなら、漏洩した情報の全てを消す義務を負わせるでもいいな。

  • by Anonymous Coward on 2018年12月28日 18時45分 (#3541111)

    具体的に発生した被害には個別に補償される前提ってことかしら。

    • by Anonymous Coward

      そのままの意味でしょうね。IDとパスワードが漏洩した結果他の情報が芋づるで漏洩するなら損害が発生する。そうならなければ0円。
      パスワード使い回しによる連鎖漏洩がサービス提供側の責に問われる可能性はちょっと低いですね。

  • とてもこの金額じゃ割りに合わないよね〜。

    #でも証明する方が難しいか

    • by Anonymous Coward

      まさかストーカーを法廷に連れてくるわけにもいかんしなぁ

    • by Anonymous Coward

      ストーカーに関しては漏洩された情報からストーキングする相手を選ぶようなことってあんまないんじゃね?

      • by Anonymous Coward

        ストーカーは犯罪例で、実際は個人情報を集めれば様々な犯罪に利用できるわけで、割に合わないのは犯罪被害の常でしょう。

  • セリでも開いたらもの凄い高値で893屋さんとかが買ってくれそう
    これだけ意識低い人達だったらオレオレ詐欺なんて入れ食い状態でしょ
    「0円(特に補償などは不要)」と答えた人の名簿だけでいいよね
    というかむしろそれ以外のリストは893屋さん的にはノイズ

    • by Anonymous Coward

      個人情報漏洩に対する意識の高さはオレオレ詐欺に引っかかるかどうかは関係ないでしょ。
      逆に意識の高さを逆手に取った「個人情報削除します詐欺」というのもあるので。
      https://www.shiruporuto.jp/public/document/container/damasarenai/watad... [shiruporuto.jp]

    • by Anonymous Coward

      0円と答えた人の中には「補償でどうにかなると思うなよ」という人も含まれていると思うんですが

      • by Anonymous Coward

        そういう人が「1/0=0」とかいう糞を子供に教えるんだな。

  • by Anonymous Coward on 2018年12月28日 23時43分 (#3541222)
    自分が個人情報を管理する会社の経営者だとして、同じ額の賠償金を払うと言えるといいですね
    • by Anonymous Coward

      言うだけならコストかからないけど普通は職責が果たせないならば当該経営者にならない。
      それもまた知恵。

      • by Anonymous Coward

        そこで日本伝統のハラキリですよ。

        • by Anonymous Coward

          これ。要するに、クズは潰れてくれということ。

          • by Anonymous Coward

            人権屋のせいで自然に淘汰されるはずだった人間が生きて税金や他人の金を使っている。社会主義に良いことないね

  • by Anonymous Coward on 2019年01月02日 15時02分 (#3542594)

    個人を特定できる情報と結びついてることが前提じゃなかったっけ?
    本人を特定できないデータに漏洩もへったくれもなくない?
    お店の帳簿が仮に流出したってそれは客の注文履歴でもあるけど
    店に損害があっても客個人にはなんの損害もないよね?

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...