2010年04月04日

モンベルの損害賠償を試算してみる

ここを見てくださる中にも先日アップしたモンベルの情報漏えい事件の被害者になってしまった人が結構いらっしゃるんですね。ご愁傷様です。

で、モンベルからは一人5,000円の賠償金が支払われるそうですが、かなり少ないと言うか最低最小の、ある意味ユーザをなめた金額だと思います・・・というわけでちょっと試算してみます。

計算の元にさせていただいたのはこのサイトで、日本ネットワークセキュリティ協会が考案した「損害賠償額算出式'03」に基づいています。判例で下った賠償金額と比べても割と精度が高いみたいですよ。

損害賠償額 = 基礎情報価値 [500]
         × 機微情報度 [Max(10^(x-1) + 5^(y-1)]
         × 本人特定容易度 [6,3,1]
         × 情報漏えい元組織の社会的責任度 [2,1]
         × 事後対応評価 [2,1]

基礎情報価値
定数で 500 ポイントです。つまり漏れたのがどんな情報であれ最低500円からという意味です。

機微情報度
xに経済的損失レベル、yに精神的損失レベルを入れて計算します。今回クレジットカード情報が流出して実被害者もいることから、カード番号だけでなく有効期限などの情報も漏れていると思われるので「x=3」、もし会員登録時に好きなアクティビティを入力していてそれも漏れていたら「y=2」となります。
10^2 + 5^1 = 105

本人特定容易度
漏えいした個人情報からどれだけ本人特定がしやすいかを示す値で、住所・氏名が漏れた時点で「6」です。

情報漏えい元組織の社会的責任度
まあ世間一般からすれば誰も知らない会社なんだろうから「1」です。裁判になったとき、あっちこっちのモールに出店してること、アウトドア業界では知名度がトップクラスなこと、ガイアの夜明けとかで取り上げられたりしてることが加味されたら「1」じゃ済まないかもしれませんね。

事後対応評価
事後対応がすべて完璧にやったと仮定して「1」。

これらを計算式に代入すると
損害賠償額 = 500
        × 105
        × 6
        × 1
        × 1
      = 315,000 円

仮に住所・氏名が一切漏れていなくて本人特定が困難(ポイント 1)だとしても52,500円ですよ。どーですか?
私は実際に漏れた情報に何が含まれていたか知らないので、被害者の皆さん、ご自分で計算されてみてはいかがですか?

・・・過去の判例からしても、集団訴訟起こせばモンベル完敗だろうなあ。

4月7日追記
流出した情報はカード番号と有効期限とのことですから、標準的な賠償額を計算すると以下になります。
損害賠償額 = 500
        × 101
        × 1
        × 1
        × 1
      = 50,500 円
実際の賠償額が5,000円だそうですから10分の一以下ということ。本来なら賠償総額5億円以上かかる可能性が高いところを6千万円程度に抑えたってわけですね。

私はこの態度、真摯だと思いません。
posted by tetk at 19:22| Comment(6) | TrackBack(0) | Diary | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
情報漏えいの賠償金を定める一定の法律があればいいんですがね〜
私の所属する団体のホームページを運営しているのですが、そこのサーバーに記事を転送してもエラーになるので確かめた所、情報漏えいがあり
パスワードをロックしたとの堂々とした
返答をもらいました(笑)
ロ○ポ○○レンタルサーバー・・・
Posted by takapon at 2010年04月06日 12:04
takaponさん
セキュリティ問題は攻撃と対策の追いかけっこですねえ。
被害者への賠償額でその会社の考え方がわかるとも言えますね。

ちなみにレンサバ屋だったら社会的責任度が2になります。(ネット関連事業者には厳しい)
Posted by tetk at 2010年04月06日 22:19
これ 怖いですね。アメリカのサイトでしょっちゅう通販を利用している身としては、他人事じゃありません。
所詮 雪峰と同じような意識レベルなんでしょうか?大体アメリカ人で利用している人もいるだろうに訴訟されたらどうするんでしょうか。
Posted by boke at 2010年04月07日 19:29
bokeさん
Web担当者は「まさかウチが狙われるとは思わなかった」とコメントしているみたいなんで、意識は相当低かったようですね。もっと小さな会社のレベルなんて言わずもがなかなと思います。
アメリカのショップも似たような状況じゃないですかねえ。AmazonとかPayPalくらい名前が通っているところくらいしか対策してないと考えた方がいいかもですね。
Posted by tetk at 2010年04月07日 20:27
>「まさかウチが狙われるとは思わなかった」

ひえぇー、一番担当者が言ってはいけないセリフですね。オマエ何の担当だよ、って一斉に叩かれるでしょう。それなりのスキルがあっても、ある程度の企業サイズのサーバ管理職に就くのはとても難しいのに。まぁ、そういう人達が怒りを込めて、管理者がボーっとしてるサイトを襲ってるだとは思いますが・・・

計算式の内容は難しくて理解できないのですが、5万円相当と言うのは適切な気がします。

銀行・カード会社に連絡して口座を止める、新規カードを再発行、その間の支払いは現金か銀行振込。再発行に必要な住民票を取りに行くのに会社を半休したり、銀行印を持って銀行に行ったり・・・

少なくとも一週間は仕事に支障が出るし、カードを所有してる人が最低賃金のワケは無いので、日給一万以下のはずは無く・・・

米国の小さい会社のサイトは、paypalとの連動が割りと多いと思います。今回の騒ぎで、そっちの方が無難なんだなと納得しました。

たぶんモンベルも懲りて、支払い処理の部分はどこかのSIerに丸出しするだろうと思います。

記事の計算式、今度何かの提案で使わせてもらいますよ。山の話でこんな情報が拾えるのがスゴク面白い・・・
Posted by おまつ at 2010年04月08日 05:01
おまつさん
ですよねー。カード情報が漏れて5000円じゃ割に合わないです。
おっしゃるとおり、これからはPayPal採用の動きが加速したり、決済時にカード会社のサイトへ飛ぶような仕組みが増えるでしょうね。でもカード情報だけが個人情報のわけでないので、いろんな対策が必要なのは変わりませんけど。
Posted by tetk at 2010年04月08日 07:33
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
Google+