［米国］【ポネモン調査】
深刻化する企業データ侵害の実態が明らかに

回答企業の85％がデータ侵害を経験、されど対策は不十分

（2007年05月16日）

　独立系調査機関の米国ポネモン・インスティチュートが5月15日に発表した調査リポートから、多くの米国企業が個人情報漏洩などのデータ侵害を経験しており、その発生頻度も増加しているという深刻な実態が明らかになった。

　リポートによると、調査対象となった700人（企業の最高責任者レベルの役員、マネジャー、ITセキュリティ責任者）のおよそ85％が、個人情報漏洩などのデータ侵害の経験を持ち、そのおよそ半数がデータ侵害が発生した時点で何の対処計画もなかったことを認めているという。

　データ侵害の原因で最も多いのが、ノートPCやPDA、メモリ・スティックといった機器の紛失や盗難であり、次に多いのが、従業員や派遣社員、下請け業者の過失による漏洩だ。

　調査に携わった研究者によると、「データ侵害がビジネスに及ぼす影響」と題した今回の調査から、あらゆる業種の中規模企業および大企業のITセキュリティ責任者を悩ませているデータ侵害の深刻な実態が浮き彫りになったという。同調査は、ポネモン・インスティチュートが、法務／テクノロジー・サービス会社スコット＆スコットの委託を受けて実施したもので、15日に調査結果が公表された。

　ポネモン・インスティチュートの設立者で、会長のラリー・ポネモン氏は、「今回の調査結果は、米国の多くの組織でデータ侵害という問題が蔓延していることを示している。また、経費の支出や社会的評価の低下といった否定的な影響があるにもかかわらず、データ侵害を経験した多くの企業が、将来同様の事案が発生するのを防ぐための適切な措置をとっていないことも明らかになった」と指摘している。

　調査結果を見ると、ほぼ100％の組織が、州法に基づいて情報の紛失や盗難によって被害を受ける可能性のある対象者に通知を出すように求められていると答えており、およそ60％がHIPAA（医療保険の相互運用性と説明責任に関する法律）やグラム・リーチ・ブライリー法（金融制度改革法）などのプライバシー保護に関する連邦法によって被害関係者への通知を求められていると回答している。

　組織が被害を受ける可能性のある対象者に対して、データ侵害に関する概要（詳細な内容ではなく）を通知する文書を送付したことがあると回答した組織も37％に及んでいる。

　また、データ紛失が発生した組織の4分の3が顧客離れにつながると答えており、訴えられる可能性があると答えた組織は60％近くに上っている。罰金を科される可能性があると答えた組織も3分の1あった。一方、株価の下落に見舞われたとする回答は32％だった。

　しかし回答者の大半は、データ漏洩の被害対象者への影響について、短期的には、ほとんど、あるいはまったくなかったと答えている。今回の調査に携わった研究者らは、こうした調査結果が通知規則の改善の必要性を物語っていると指摘するとともに、「とりわけ消費者に対する実質的な利益が何もないと理解されている点を考慮すると、被害対象者への通知が企業に不利益をもたらすと認識される可能性もある」と警告する。

　ポネモン氏は、「データ漏洩の被害対象者に対する影響は短期的に皆無あるいはきわめて小さいというのが多くの回答者の共通認識だ。つまり回答者の多くは、データ侵害の事実の通知が、将来発生する可能性のある経済的な損失の防止といった具体的な利益を消費者にもたらすわけではないと考えている」と語っている。

　このほか、今回の調査では、データ侵害の頻度が高まっているにもかかわらず、多くの企業が暗号化や認証などのITセキュリティ技術を導入していないという実態も明らかになった。

　回答者のおよそ46％は、データ紛失の事実を知った後も可搬ツールに暗号化技術を導入していないと答えており、また42％がITセキュリティ支出は来年も据え置きになると答えている。

　また、皮肉なことに、データ侵害を経験したことのない組織よりも、データ侵害を経験した組織のほうが「ITとデータのセキュリティを確保する手段を実質的により多く導入している」と回答していることも明らかになった。

(デニス・ドゥビー／Network World 米国版)