筆者らはNPO日本ネットワークセキュリティ協会(以下JNSA)と情報セキュリティ大学院大学(以下IISEC)が協力して2011年から2014年まで実施したインシデント調査に参加し、個人情報漏えい事故の規模と頻度がべき乗則に従う事を発表した[1] [2]。べき乗則に従う代表例には、地震の規模と頻度がある[3]。地震では事象が起きたことを想定した対策が取られている。一方、情報漏えい事故の場合、情報漏えいの発生を防ぐための対策を充実させ漏えいリスクを受容できるレベルまで下げるという考え方が主流である。しかし、べき乗則で発生する情報漏えい事故に対しては事前対策のみでなく、事後対策を踏まえたBCP(Business Continuity Plan: 事業継続計画)の策定を行うべきである。
本稿では大規模個人情報漏えい事故の発生傾向を把握し、事業に与える影響分析の考え方、対策の必要性について分析を行い、BCPの策定とその作成ポイント、有効性評価に対する考察を実施した。
抄録全体を表示