ジェムアルトは5月28日に先の3月に公表したデータ漏えいの深刻度を指標化した「2016年 Breach Level Index」のメディア向け説明会を行った。ポイントは漏えいしたデータのほとんどが生データで暗号化されておらず、深刻度が高かったことだし、「暗号化は必須条件」と訴えた。

ジェムアルトはセキュリティのグローバル企業。世界の48ヶ国の拠点と180ヶ国以上に顧客を持ち、従業員は1万5000人以上を有する。

昨年のデータ漏えいの深刻度についての調査「Breach Le​vel Index」の結果を去る3月に発表したが、今回日本のプレス向けに説明会が行われた。

発表を行ったのは、日本法人であるジェムアルト株式会社のアイデンティティ&データプロテクション事業本部の本部長である中村久春氏。ジェムアルトの日本法人としての事業は「認証」と「データ保護」を両輪と、企業や政府機関にセキュリティサービスを提供しているという。

「Breach Le​vel Index」によると、2016年に世界で発生したデータ漏えいは1,792件で、漏えいしたデータ件数は2015年から86%増加の約14億件に達した。最も多かったデータ漏えいの原因はなりすましで、全体の59%を占めた。また、2016年に発生したデータ漏えいの52%では、事件報道時に漏えいしたデータ件数が発表されなかったという。

「データの漏えいの侵害件数は、簡単に言えば倍増している。漏えいしたデータ件数がわからないというものも多く、不明なものは調査件数に入れていないので実際がさらに多くなる」（中村氏）

ジェムアルト株式会社 アイデンティティ&データプロテクション事業本部 本部長 中村久春氏

中村氏が重大だと指摘するのは漏えいデータの件数のうち、「暗号化されていたものは4%に過ぎす、96%は生データ」という事実だ。

また漏えいの原因では、「悪意のある部外者」が圧倒的に多く、さらにデータの種類で言えば「個人情報」が最も多くなる。

また今回のレポートには、日本のデータ漏えいについてもリストアップしている。日本国内の傾向としては、1）個人情報を入り口としてクレジットカード情報が引き続き漏えいするケースが多い、2）OS脆弱性に対する攻撃が相変わらず多い、3）攻撃が広範囲の業種、業態に広がっている、などがあげられる。さらに今後、IoTによってさらに情報漏えい対策が必要になることや、PCIDSSや、EUが進めている「GDPR」への対応なども課題になってくるという。

「Breach Le​vel Index」にリストされている日本国内のデータ漏えい2016年

「Breach Le​vel Index」にリストされている日本国内のデータ漏えい2017年

今回の報告を通じて、中村氏は「暗号化の必須化」を強調し以下のように提言をおこなった。

「データ漏えいは、今後もあるということを前提です。暗号化は決して先進的な対策ではなく、必須の条件と考えていただきたい」（中村氏）