事件の発生

つい先月のこと、おそらく史上最大と思われるクレジットカード情報の漏洩事 件が発生した。漏洩したカード情報の件数は、なんと 800 万人分を越えるら しい。どうやら、カード発行会社がクレジット決済をアウトソースしている企 業の情報システムに何者かが不正侵入し、決済情報を持ち出したようである。

最初に記事を読んだときに、その数の膨大さに目を疑うと共に、果たして自分 のカード情報は大丈夫なのだろうかと心配になってしまった。記事によれば、 カード発行会社には免責ポリシーがあるので、万が一、不正に利用されたとし ても利用者に支払の義務はないとのことだが、やはり気持ちが悪いことに変わ りはない。カード利用者の立場からすれば、自分に何の落ち度もない状況で発生するリスクは、勘弁して貰いたいものである。

経済的な損害額はいったいいくら？

さて、今回の事件によって、カード発行会社やクレジット決済を担当していた 企業、あるいはカードを使って商品の販売等を行った企業が被る被害はどれほ どのものであろうか。直接的にはアウトソースに関わる契約や SLA (Service Level Agreement) への違反によって、クレジット決済企業がカード発行会社 から損害賠償を請求される可能性が高いだろう。しかし、そうした直接的な金 銭補償だけでなく、他にもたくさんの損害が発生しそうである。

例えば、「自分の情報は大丈夫なのか？」といった利用者からの問い合わせや 苦情への対応に要する費用、カード情報が漏洩した利用者に対する個別連絡や 謝罪のための費用、加えて場合によってはカード再発行に要する費用もあるだ ろう。さらに言えば、万が一、不正に利用された場合にカード利用者に代わっ て損害を補填するための費用や、そうした不正利用の調査に要する費用などが あるかも知れない。

もう少し中長期的な影響を考えると、新たなカード利用契約を逃したり、カー ド利用を停止する利用者が増えるという機会損失のリスクもあるだろう。それ らをすべて合わせると、膨大な損害額になるのではなかろうか。時節柄、つい つい経済活動への悪影響を懸念してしまう。

リスクアセスメントの難しさ

個人情報保護のガイドライン ほどには有名ではないが、 OECD の勧告の一つに、俗に セキュリティ・ガイドライン と呼ばれるガイドラインがある。このガイドラインは、1992年に最初の版が出 され、つい昨年に改訂版が出されている。

セキュリティ・ガイドラインでは、6番目の原則としてリスクアセスメントを 取り上げており、「参加者は、リスクアセスメントを行うべきである」と勧告 している。さらに、その説明の中で、「情報システムの相互接続が増加しているため、 リスクアセスメントは、他者に起因する、また、他者に対してもたらされる潜 在的な損害についての考慮を含むべきである」とされている。

前述したような事件の発生を防ぐために実施すべき事の一つとして、こうした リスクアセスメントがあげられるだろう。しかしながら、リスクアセスメント を科学的な根拠をもとに実施することは、現実には難しい作業となる。中でも、 他者に起因する、あるいは他者に影響するリスクを正確に把握することは、特 に難しい。この分野については、まだまだ研究が必要なこと、やらねばならな いことが、たくさん残されているのが実状である。

ネットワーク社会においては、一つの事件を引き金として、甚大な被害を引き 起こす場合がある。リスクアセスメントを実施する際には、一見すると荒唐無 稽に見えるため、まわりから一笑にふされがちなケース (リスクシナリオ) に も十分な吟味が必要であることを改めて認識させられる事件であった。