平成16年版 情報通信白書

本文へジャンプ メニューへジャンプ
目次の階層をすべて開く目次の階層をすべて閉じる

第1章 特集 「世界に拡がるユビキタスネットワーク社会の構築」

(3)情報セキュリティの確保

携帯インターネットの利用者の64.3%が「迷惑メール」の被害

1 情報セキュリティ侵害の動向

(1)パソコンからのインターネット利用者における被害

 ユビキタスネットワーク社会に向けたネットワーク利用においては、情報セキュリティに関する不安も強い。パソコンからのインターネット利用者のうち平成15年に情報セキュリティに関する被害を受けた人は、平成14年から3.8ポイント増加し33.6%となった。最も多い被害は、「ウイルスの発見・感染」であり、インターネット利用者のうち21.5%が被害を受けている。また、平成15年には、「迷惑メール」、「不正アクセス」、「個人情報の不正利用・漏えい」の項目においても、被害を受けた人が平成14年より増加している(図表[1])。

 
図表[1] パソコンからのインターネット利用者における被害状況及び被害内容(複数回答)

図表[1] パソコンからのインターネット利用者における被害状況及び被害内容(複数回答)
Excel形式のファイルはこちら


(2)携帯インターネットの利用者における被害

 携帯インターネットの利用者のうち平成15年に情報セキュリティに関する被害を受けた人は、平成14年から6.1ポイント増加し65.0%となった。最も多い被害は、「迷惑メール」であり、インターネット利用者の64.3%が被害を受けている(図表[2])。

 
図表[2] 携帯インターネット利用者における被害状況及び被害内容(複数回答)

図表[2] 携帯インターネット利用者における被害状況及び被害内容(複数回答)
Excel形式のファイルはこちら


(3)企業の情報通信ネットワーク利用上の被害

 平成15年に情報セキュリティに関する何らかの被害を受けたとする情報通信ネットワーク(インターネットや企業通信網)利用企業は、平成14年から3.5ポイント減少し、72.7%となった。そのうち、最も多い被害は、「ウイルスの発見・感染」であり、情報通信ネットワーク利用企業のうち72.1%が被害を受けている(図表[3])。

 
図表[3] 企業の情報通信ネットワークにおける被害状況及び被害内容(複数回答)

図表[3] 企業の情報通信ネットワークにおける被害状況及び被害内容(複数回答)
Excel形式のファイルはこちら


(4)情報セキュリティ被害額

 個人が情報セキュリティ侵害による被害額を、被害率と被害額のサンプル調査により推計すると、平成15年には967億円と平成14年の2.3倍に増加した(図表[4])。

 
図表[4] 個人の情報セキュリティ被害額※1の推移

図表[4] 個人の情報セキュリティ被害額※1の推移 資料1-4-1参照
Excel形式のファイルはこちら


 また、平成15年の上場企業の情報セキュリティ侵害事案に対する復旧処理費用は、約12億円と推計され、そのうちウイルス感染に係る復旧処理費用が66.6%を占めている(図表[5])。

 
図表[5] 上場企業の情報セキュリティ侵害事案に係る復旧処理費用の推計(平成15年)

図表[5] 上場企業の情報セキュリティ侵害事案に係る復旧処理費用の推計(平成15年) 資料1-4-2参照
Excel形式のファイルはこちら


(5)ウイルス

 平成15年には、平成14年に流行した「クレズ」等の被害に加え、「SQLスラマー」、「バグベア」、「ブラスター」等の新種のウイルスが流行した。「SQLスラマー」や「ブラスター」は特定のデータベースソフトウェアやOSの脆弱性を突き世界中に被害を拡大させた。また、平成16年に入って流行した「マイドゥーム」は感染した大量のパソコンから特定の会社のウェブサーバーに一斉にアクセスし、当該会社のウェブサーバーをダウンさせるなど被害をもたらした。さらに、これらのウイルスは、プログラムの一部を改変した亜種が多く発生したため、利用者はウイルス対策を頻繁に行う必要に迫られた(図表[6])。

 
図表[6] 最近発生した主なウイルス

図表[6] 最近発生した主なウイルス
Excel形式のファイルはこちら


(6)不正アクセス

 国家公安委員会・総務大臣・経済産業大臣の発表によると、平成15年の不正アクセス行為の認知件数は212件となり、平成14年の329件から35.6%減少した。平成15年の不正アクセス行為後の行為としては、ホームページの改ざんが最も多く49件であった。平成14年と15年を比較すると、ネットオークションでの不正操作は177件から40件に減少したが、情報の不正入手や収集したID・パスワードの販売、ネットゲームで不正操作を行う事例が増加した(図表[7])。一方、平成15年の不正アクセス禁止法違反の検挙事件数は58事件、検挙人数は76人となり、平成14年と比べ検挙事件数は7事件増加し、検挙人数は7人増加した。検挙事件のうち56事件は、他人のIDやパスワードを入力して不正にアクセスする識別符号窃用型(注1)であり、残りの2事件は、サーバー等のセキュリティホールを突いたものであった(図表[8])。

 
図表[7] 不正アクセスの発生状況及び不正アクセス後の行為

図表[7] 不正アクセスの発生状況及び不正アクセス後の行為
Excel形式のファイルはこちら


 
図表[8] 不正アクセス禁止法違反事件の検挙状況の推移

図表[8] 不正アクセス禁止法違反事件の検挙状況の推移
Excel形式のファイルはこちら


 平成15年5月には、平成14年9月から11月までの間、多数のIDに対してパスワードを推測して入力する操作を繰り返し、合致した15件のIDとパスワードを用いて不正アクセスを行った者が検挙された。この15件のIDとパスワードは、インターネット・オークション詐欺等の不正な目的に利用する者等に対し販売することを目的として収集していた。この事例のようにIDから容易に推測できるパスワードを推知した手口は、平成15年の不正アクセス禁止法違反58事件のうち、26事件であったことから、不正アクセス対策としては、ファイアウォールの設置等技術的な対応だけでなく、他人に分かりやすいパスワードを使用しない、IDとパスワードを安易に紙に記入して保管しないなど、利用者が情報セキュリティを意識し、運用面の対応を進めていく必要がある。
 また、平成16年2月には、ある社団法人のサーバーの欠陥を突き不正アクセスし、個人情報を入手したとして大学の研究員が摘発された。研究員は、サーバー上のソフトウェアの欠陥を発見後、ソフトウェアを作成した会社にその欠陥を指摘するとともに、情報セキュリティ関係者の集会で不正アクセスの手法や個人情報を公表するなどした。公表された手法や個人情報は、ネット上の掲示板に掲載され、さらに、手法を模倣し不正アクセスを行った者が摘発されるなどした。情報漏れを起こした社団法人では、定期的な安全監査が行われていなかった。

(7)迷惑メール

 広告等の目的で大量に送信される迷惑メールは、受信者を不快に感じさせたり、自分の個人情報の流出に不安を抱かせるなど、情報通信ネットワーク利用者に多大な被害を与えている。平成15年度に迷惑メール相談センターに寄せられた違法メールに関する申告は、平成15年8月以降減少傾向にあるものの、依然として毎月2万件近くにのぼっている(図表[9])。

 
図表[9] 「特定電子メールの送信の適正化等に関する法律」違反に係る申告件数の推移

図表[9] 「特定電子メールの送信の適正化等に関する法律」違反に係る申告件数の推移
Excel形式のファイルはこちら


(8)架空料金請求トラブル

 いわゆる架空料金請求トラブル(インターネットの有料アダルトサイト、出会い系サイト、ツーショットダイヤル等の利用料(情報料)等をかたって、携帯電話、電子メールや郵便等により料金を請求するケース)も増加している。平成15年度に総務省電気通信消費者相談センターに寄せられた件数は、4,119件であり、平成14年度(555件)と比べて7.4倍に増加した(図表[10])。

 
図表[10] 電気通信消費者相談センターに寄せられた架空料金請求トラブルに関する相談件数の推移

図表[10] 電気通信消費者相談センターに寄せられた架空料金請求トラブルに関する相談件数の推移
Excel形式のファイルはこちら


2 個人の情報セキュリティ対策と課題

(1)情報セキュリティ対策状況
 インターネット利用者のうち、ウイルス対策を必要であるとする人は92.6%、不正アクセス対策を必要であるとする人は76.2%であり、ウイルス対策及び不正アクセス対策の必要性に対する認知度は高い。他方、実際にこれらの対策を「行っている」人は、ウイルス対策では71.7%、不正アクセス対策では37.8%であり、ウイルス対策と不正アクセス対策の実施率に差異がある(図表[11])。また、平成15年にインターネット利用者が行っている情報セキュリティ対策は、「ウイルスチェックソフトの導入」が32.0%と最も多く、プロバイダ等の「ウイルスチェックサービスの利用」が18.4%、「OS等の更新」が17.8%と続いている。しかしながら、「何も行っていない」人が26.5%と約4分の1を占めている(図表[12])。さらに、平成15年にウイルスを発見した人のうち実際に感染した人の割合(ウイルス感染率)は、36.0%である。ウイルス対策実施者のウイルス感染率が33.0%であるのに対し、ウイルス対策未実施者のウイルス感染率は54.2%であり、ウイルス対策は一定の効果をあげていることが分かる(図表[13])。

 
図表[11] 情報セキュリティ対策の実施状況

図表[11] 情報セキュリティ対策の実施状況
Excel形式のファイルはこちら


 
図表[12] インターネット利用者の情報セキュリティ対策の実施状況(複数回答)

図表[12] インターネット利用者の情報セキュリティ対策の実施状況(複数回答)
Excel形式のファイルはこちら


 
図表[13] 対策の有無によるウイルス感染率

図表[13] 対策の有無によるウイルス感染率
Excel形式のファイルはこちら


(2)情報セキュリティ対策を行っていない理由

 ウイルス対策を行っていない理由の上位3つが、「費用がかかるから」(37.5%)、「面倒だから」(36.9%)、「具体的な対策方法が分からないから」(30.6%)である。他方、不正アクセス対策を行っていない理由の上位3つは、「具体的な対策方法が分からないから」(53.2%)、「面倒だから」(27.2%)、「費用がかかるから」(21.1%)である。不正アクセス対策については、具体的な対策方法の認知度が低いことが課題である(図表[14])。

 
図表[14] 対策を行っていない理由(複数回答)

図表[14] 対策を行っていない理由(複数回答)
Excel形式のファイルはこちら


3 企業の情報セキュリティ対策と課題

 情報セキュリティに関して何らかの対策を行っている企業は、全企業の95.1%である。その具体的な対策では、「パソコン等の端末にウイルスチェックプログラムを導入」が最も多く、72.7%であり、「サーバーにウイルスチェックプログラムを導入」が56.5%、「ID、パスワードによるアクセス制御」が54.2%、「ファイアウォールを設置」が52.2%と続いている。これらシステム・技術面でのセキュリティ対策は普及しつつある反面、「セキュリティポリシーの策定」(17.1%)や「社員教育」(15.7%)等運用・体制面の情報セキュリティ対策は遅れている(図表[15])。高度にネットワーク化が進展した情報通信ネットワークにおいては、システム・技術的な安全対策だけでは十分な情報セキュリティが確保できない状況になってきている。そのため、情報セキュリティの確保のためには、社内外も含めた体制の整備や社員の意識と知識両面での情報リテラシーの向上、セキュリティポリシーの策定、定期的な情報セキュリティ監査の実施等運用・体制面での情報セキュリティ対策が重要である。

 
図表[15] 企業における情報セキュリティ対策状況(複数回答)

図表[15] 企業における情報セキュリティ対策状況(複数回答)
Excel形式のファイルはこちら


 企業内の情報セキュリティ管理を効率的かつ効果的に行うためには、情報セキュリティ管理の主導的役割を果たす組織や担当者を設ける必要がある。平成15年において、情報セキュリティ管理に関する「専門の組織があり、専従の担当者を設置」している企業(注2)は5.9%であり、「専門の組織があり、情報システムの運用者が兼務」している企業は17.4%である。また、「専門の組織はないが、専従の担当者を設置」している企業が2.7%、「専門の組織はないが、情報システムの運用者が兼務」している企業は66.4%であり、9割以上の企業で何らかの情報セキュリティ管理のための体制が整備されている(図表[16])。

 
図表[16] 情報セキュリティ管理のための体制

図表[16] 情報セキュリティ管理のための体制
Excel形式のファイルはこちら


 システム・技術面での情報セキュリティ対策を確実に実行し、実効性のあるものとするためには、実際に情報システムを利用する社員一人ひとりのリテラシーを向上させ、情報セキュリティに対する知識と意識の向上が必要である。平成15年に、社員に対する何らかの情報セキュリティ教育を行った企業は60.5%である。しかしながら、教育の具体的な方法は、「全員を対象に資料の配布・回覧」(36.5%)、「就業規則等に情報セキュリティに関する条項の制定」(33.8%)が多く、実際のリテラシー向上は社員の自主性に任せている企業が多い(図表[17])。

 
図表[17] 情報セキュリティ教育の実施状況(複数回答)

図表[17] 情報セキュリティ教育の実施状況(複数回答)
Excel形式のファイルはこちら


 情報セキュリティに対する知識や意識は多様であるため、情報システムや社内情報の利用が社員個人の裁量のみで判断されることのないよう、組織として意思統一され、明文化された文書であるセキュリティポリシーを策定することが必要である。また、セキュリティポリシーを策定するだけでなく、セキュリティポリシーに基づいて実際に情報セキュリティを確保するための具体的な対策を適切に規定しておくことが重要である。
 平成15年において、セキュリティポリシーを策定している企業は35.6%であるが、現在策定中の企業及び策定を検討している企業も含めると約9割の企業がセキュリティポリシーの策定を考えている。また、セキュリティポリシーを策定している企業のうち具体的な規定を策定している企業は72.9%である。これらの企業では、「情報システムの利用」、「機密情報管理」、「ウイルス対策」に関する規定を定めている割合が高い(図表[18])。

 
図表[18] セキュリティポリシー及び具体的な規定の策定状況

図表[18] セキュリティポリシー及び具体的な規定の策定状況
Excel形式のファイルはこちら


4 情報セキュリティ確保のための国際的な取組

 インターネットや携帯電話等情報通信ネットワークは世界中に急速に普及しており、米国や韓国をはじめとして、それぞれの国において情報通信ネットワークが整備されつつあり、利便性の高いサービスが世界中で利用できるようになりつつある。他方、情報通信ネットワークにはいわゆる国境が存在しないため、情報通信ネットワークの脅威は国を越えて被害を拡大させる可能性がある。そのため、国際機関や各国においても、情報セキュリティに対する意識が高まっており、情報セキュリティ確保のための取組が強化されている。

(1)ITUによる「情報セキュリティマネジメントのテレコム実装要求条件」の勧告

 他の業種に比べ多くの情報を扱うため、電気通信事業者はより慎重に情報セキュリティ確保のための取組を行う必要がある。国際電気通信連合(ITU)では、我が国が中心となり電気通信分野における情報セキュリティの在り方について2001年から検討を行い、2004年3月に開催されたITU会合において、電気通信事業者が守るべき情報セキュリティ国際規格として、「情報セキュリティマネジメントのテレコム実装要求条件」の勧告化に同意した。同勧告では、事業規模に合わせた情報セキュリティ管理体制の監査の在り方やリスクマネジメントの方策等が記載されており、情報通信ネットワークシステムの様々なシステム構成に対応でき、技術・システム面と運用・体制面のバランスの取れた電気通信事業者における情報セキュリティマネジメント規格となっている(図表[19])。

 
図表[19] 「情報セキュリティマネジメントのテレコム実装要求条件」(ITU勧告)のイメージ

図表[19] 「情報セキュリティマネジメントのテレコム実装要求条件」(ITU勧告)のイメージ

(2)欧州評議会(Council of Europe)(注3)における「サイバー犯罪に関する条約」の採択

 欧州評議会は、2001年11月、閣僚委員会において「サイバー犯罪に関する条約(Convention on Cybercrime)」を採択した。2004年3月末現在、我が国も含め37か国が署名、そのうち5か国が締結している。「サイバー犯罪に関する条約」では、各締結国において、違法なアクセスや違法な傍受等についてこれを犯罪として処罰することや、コンピュータ・データの迅速な保全等の刑事手続について立法化すること等を求めている。
 我が国においては、総務省を含め関係省庁において、本条約の締結に向けた関係国内法の整備等を進めている。総務省では、平成16年3月に、違法な傍受の犯罪に関し所要の規定を設けるなどするため、電波法及び有線電気通信法の一部を改正する法律案を提出し、同年5月に成立した。

(3)迷惑メール対策

 広告等の目的で大量に送信される迷惑メールは、その大量性ゆえに膨大なトラヒックとなり、メール送達が遅延するなど情報通信ネットワークに悪影響を与えるほか、受信者を不快に感じさせたり、自分の個人情報の流出に不安を抱かせるなど、多大な悪影響を与えている。我が国は、2002年(平成14年)7月に「特定電子メールの送信の適正化等に関する法律」(特定電子メール法)及び「特定商取引に関する法律」(特定商取引法)の改正法が施行されるなど迷惑メール対策が進んでいたが、メールは世界中のどこからでも送信することが可能であり、各国が単独で規制しても十分に防ぐことは困難であるため、OECDでは、2004年2月にベルギーのブリュッセルにて迷惑メールに関するワークショップを開催し、国際的な対策について議論を行った。OECDの報告書(DSTI/ICCP(2003)10/FINAL)によると、2004年1月現在でOECD加盟国のうち、迷惑メールに関する法令が制定されている国は、日本、米国、英国、韓国等18か国であり、各国で法制度が整備されつつある。法令が制定されていない国はフランス、ドイツ等10か国であるが、これらの国においても現行法を適用することによる対応や法案の作成等迷惑メールへの対策が進みつつある。
 米国においても迷惑メール防止法(CAN-SPAM Act of 2003 :Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003)が2003年12月に成立し、2004年1月に施行された。同法では、広告等のメールを送る業者は広告又は勧誘である旨や送信者の住所と連絡先を明記することが義務付けられ、また、受信拒否を要求した者に対する再送信を禁止している。現在、米国連邦取引委員会(FTC:Federal Trade Commission)及び連邦通信委員会(FCC:Federal Communications Commission)では、法の具体的な運用に関する検討を進めている(図表[20])。

 
図表[20] 米国迷惑メール防止法概要

図表[20] 米国迷惑メール防止法概要

 また、2004年3月には、アメリカ・オンライン(AOL)、アースリンク、マイクロソフト、ヤフーの米国大手インターネットサービス4社が、同法の適用を求めた初めてのケースとして、迷惑メールを送信していた疑いのある数百の企業や個人を提訴した。


(注1)識別符号窃用型の事件とは、アクセス制御されているサーバーに、ネットワークを通じて他人の識別符号(ID)を入力して不正に利用した事件のこと
(注2)ここでの調査対象企業は、東京証券取引所一部・二部上場企業
(注3)欧州評議会は、西欧10か国が人権、民主主義、法の支配という価値観を実現するために設置した国際機関であり、我が国は米国、カナダ等とともにオブザーバー国となっている

関連ページ:情報セキュリティの確保については、3-7-2(1)参照
関連ページ:政府全体での情報セキュリティの確保については、3-7-2(2)参照
関連ページ:電気通信サービスに関する苦情・相談等については、2-2-6参照
関連ページ:電気通信サービスにおける消費者行政については、3-7-1参照
関連ページ:国際的な情報セキュリティ対策の取組については、3-7-2(3)参照

 

テキスト形式のファイルはこちら

(2)個人情報・プライバシーの保護 に戻る (4)個人や企業の責任ある行動 に進む