JP6861051B2 - リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 - Google Patents
リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 Download PDFInfo
- Publication number
- JP6861051B2 JP6861051B2 JP2017037754A JP2017037754A JP6861051B2 JP 6861051 B2 JP6861051 B2 JP 6861051B2 JP 2017037754 A JP2017037754 A JP 2017037754A JP 2017037754 A JP2017037754 A JP 2017037754A JP 6861051 B2 JP6861051 B2 JP 6861051B2
- Authority
- JP
- Japan
- Prior art keywords
- risk
- data
- damage
- parameters
- calculated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明の実施形態は、企業が自社のデータを外部へ提供する際に生じるリスクを算出するリスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法に関する。
近年、ネットワーク通信の発達と拡張により、インターネットを介して相互に通信するIoT(Internet of Things)が急速な広がりを見せている。この広がりに伴い、ネットワークに接続する機器がさらに増大し、これらの機器の間で相当量のデータが流通することが推定される。
また、ネットワーク通信における企業間のデータ流通の方法として、例えば、1)自社のデータを外部に提供及び販売するデータホルダー型モデルと、2)複数のデータ提供者から集めた情報を分析し、その結果を販売するデータアグリゲーター型モデルと、3)データの提供者と利用者の間に入り、データの販売の仲介を行うデータマーケットプレイス型モデルと、4)前記データマーケットプレイス型モデルと同様にデータ提供者と利用者間の仲介を行うが、プライバシー・リスクのあるパーソナルデータを扱うパーソナルデータストア型モデルとの4つのモデルが知られている。
「実世界データ流通フレームワークにおけるデータ共有方式の提案」川端太一、高杉耕一他、電子情報通信学会 信学技報IEIC Technical Report IN2012-70(20122-9)
「2009年 情報セキュリティインシデントに関する調査報告書」第1.1版NPO日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ 2010年9月2日改訂
前述したデータ流通の方法・方式や、それを実現するための技術として、例えば、非特許文献1のようなデータ流通フレームワークにおけるデータ共有方式が提案されている。そして、データ流通を促進するためには、多数の企業による多くのデータ提供が必須であるが、企業はデータ提供を実施する際に、少なくとも「利益」と「損害」の影響を考慮しなければならない。これらのうち、「損害」においては、データ提供における可否の判断に対して、定量的に把握することが有効である。例えば、提供するデータにプライバシーの侵害リスクがあるか否か、データ提供により企業価値が損なわれないか否か等のリスクの算出は、企業がデータ提供を行うための可否の判断として重要な要素の1つと考えられる。
このように企業がデータを流通させるか否か判断するために重要な事項である「データ提供によるリスク」については、これまで十分に検討されていない。このような「データを他社に提供することにより被るリスク」を知るための包括的な評価軸が存在しなかったことがデータを保有する企業がデータ提供を行う際の障害となっていた。
そこで本発明は、データ提供の実施により発生するリスクを包括的に捉え、定量的に評価する枠組みを示すリスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法を提供することを目的とする。
上記目的を達成するために、(1)本発明に従う実施形態のリスク計算装置は、複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、前記機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、データ提供者が1以上のデータ利用者に前記データを提供する際のリスクを算出させる、コンピュータを用いるリスク計算装置であって、少なくともデータの種類及び属性により前記機微度で区分されたデータに対するデータ自体に関する第1リスク要素と、少なくともデータ利用者によるインシデントの発生危険度を含む、データ利用者に関する第2リスク要素と、及びデータを受け渡しするデータ提供者とデータ利用者の関係性に関する第3リスク要素と、前記複数のパラメータと、を格納するパラメータ管理部と、前記複数のパラメータを用いて、前記第1リスク要素と、前記第2リスク要素と、前記第3リスク要素を算出し、前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素のデータ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出するリスク計算部と、を有する。
(2)本発明に従う実施形態の前記リスク計算部では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する。
(2)本発明に従う実施形態の前記リスク計算部では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する。
(3)本発明に従う実施形態の前記リスク計算部は、前記第1リスク要素をC1とし、前記第2リスク要素をC2とし、及び前記第3リスク要素をC3とし、前記第1リスクをR1とし、前記第2リスクをR2とし、前記第3リスクをR3とした際に、
但し、k1、k2:共に、データを提供した時点で損害が生じる危険性と、データが漏洩した時点で損害が生じる危険性の比{(漏洩による損害発生確率)/(データ提供を実施すること自体による損害発生確率)}、想定損害額N、重要度C11,C12である、
関数式を用いて、前記第1リスク、前記第2リスク及び前記第3リスクをそれぞれリスク指数として算出する。
関数式を用いて、前記第1リスク、前記第2リスク及び前記第3リスクをそれぞれリスク指数として算出する。
(5)本発明に従う実施形態のリスク計算方法は、複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、データ提供者が1以上のデータ利用者に前記データを提供する際のリスクを算出させる、コンピュータを用いるリスク計算方法であって、データの種類及び属性を含むデータに対する機微度により区分されたデータ自体に関する第1リスク要素と、データ提供によりデータ利用者がインシデントの発生を起こすデータ利用者に関する第2リスク要素と、及びデータを受け渡しする二者間で発生するデータ提供者とデータ利用者の関係性に関する第3リスク要素とを、複数のパラメータを用いて求められる関数として算出し、前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素を用いて、データ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出する。
(6)本発明に従う実施形態の前記リスク計算では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する。
(6)本発明に従う実施形態の前記リスク計算では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する。
(7)本発明に従う実施形態のコンピュータで実行させるためのリスク計算装置の駆動用プログラムは、データ提供者が1以上のデータ利用者にデータを提供する際のリスクを算出するリスク計算装置の駆動用プログラムであって、複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、前記機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、少なくともデータの種類及び属性により前記機微度で区分されたデータに対するデータ自体に関する第1リスク要素と、少なくともデータ利用者によるインシデントの発生危険度を含む、データ利用者に関する第2リスク要素と、及びデータを受け渡しするデータ提供者とデータ利用者の関係性に関する第3リスク要素と、前記複数のパラメータと、を格納するパラメータ管理と、前記複数のパラメータを用いて、前記第1リスク要素と、前記第2リスク要素と、前記第3リスク要素を算出し、前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素のデータ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出するリスク計算と、をコンピュータで実行させる。
(8)本発明に従う実施形態のコンピュータで実行させるためのリスク計算の駆動用プログラムは、前記リスク計算では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクとを前記リスク指数として算出する。
本発明の実施形態の(1),(2)リスク算出装置及び(5),(6)リスク算出方法により、データ提供の実施により発生するリスクを包括的にモデル化し、定量的なリスク算出の枠組みを実現できる。データ自身だけではなく、データ提供に関わるプレイヤーを整理し、且つデータの送受者間の関係性を反映させることで、データ提供時に企業が負うリスクが包括的に表現できる。よって、多面的な視点から企業が負う損害リスクを観察しながら、データ提供の可否を決定することができる。
(3)リスク計算部は、予め設定された関数式により、容易に第1リスク、第2リスク及び第3リスクをそれぞれリスク指数として算出することができる。また、関数式により、リスクが算出されるため、同じ条件下でいくつかのリスクが算出されるため、算出されたリスクの大きさを適正に比較することができる。
(3)リスク判定装置は、リスク計算部から算出されたリスク指数に対して予め設定された判定基準の閾値と比較して、閾値未満か否かを判定するため、データ利用者に対して適正な提供可又は提供不可を判断できる。
(7),(8)リスク計算装置をコンピュータで実行させるための駆動用プログラムを用いて、第1乃至第3リスク要素及び第1乃至第3リスクを演算出力させることができる。自動的にデータ提供の実施により発生するリスクを包括的にモデル化し、定量的なリスク算出の枠組みを実現できる。
以下、図面を参照して本発明の実施形態について詳細に説明する。
図1は、本発明の一実施形態に係るリスク判定装置の概念的な構成を示す図である。
このリスク判定装置1は、主として、リスク算出装置2と条件判定装置3とで構成される。リスク算出装置2は、パラメータ管理部4とリスク計算部5を備えており、複数のパラメータから後述するリスク指数を算出する。パラメータ管理部4は、データ提供時のリスク計算に必要な種々のパラメータを格納する。リスク計算部5は、パラメータ管理部4で管理されているパラメータのうちから必要となるパラメータを呼び出してリスクを計算する。
図1は、本発明の一実施形態に係るリスク判定装置の概念的な構成を示す図である。
このリスク判定装置1は、主として、リスク算出装置2と条件判定装置3とで構成される。リスク算出装置2は、パラメータ管理部4とリスク計算部5を備えており、複数のパラメータから後述するリスク指数を算出する。パラメータ管理部4は、データ提供時のリスク計算に必要な種々のパラメータを格納する。リスク計算部5は、パラメータ管理部4で管理されているパラメータのうちから必要となるパラメータを呼び出してリスクを計算する。
また、条件判定装置3は、条件判定部6と出力制御部7を備えている。この条件判定装置3は、リスク算出装置2から出力されたリスク指数を入力し、条件判定を行い、データの提供を行う。条件判定部6では、リスク指数に対応した条件を入力とした条件判定を行う。また、出力制御部7では、後述する判定等を行い、条件判定部6の結果に基づくデータの提供先へデータを出力(送信)するように制御する。
ここで、本実施形態を説明するに当たり、比較のために既知なデータ提供時のリスク算出方法について説明する。第1に、データの種類ごとに定められた区分を用いた想定損害賠償金を算出する方法がある。この方法においては、データ提供におけるリスクを定量化する目的で作成されたものではない。第2に、個人に関するデータに対し、個人特定の危険性を定量化する方法がある。この方法は、リレーショナル型で格納されたデータに対し、個人特定可能な属性の組み合わせを効率的に探索する方法と、個人データの特定しやすさを定量化する方法とにより構成される。これらのリスク算出方法に対して、データに関する安全性について議論がされている。つまり、匿名化などのデータ加工による安全性とデータとしての有用性のトレードオフの関係を評価することである。
次に、図2に示すフローチャートを参照して、リスク判定装置1の大まかな動作手順について説明する。
まず、初期設定として、条件判定部6にリスク指数の値に対応する判定基準となる閾値を入力する(ステップS1)。次に、リスク算出に必要な後述する複数のパラメータを設定し、パラメータ管理部4に格納する(ステップS2)。その後、リスク計算部5において、パラメータ管理部4に格納されたパラメータを用いて、後述する3つのリスク要素C1,C2,C3を算出する(ステップS3)。その後、リスク計算部5において、上記リスク要素を用いてリスク指数を算出する(ステップS4)。次に、条件判定部6は、リスク計算部5から算出されたリスク指数に対して予め設定された判定基準の閾値と比較して、閾値未満か否かを判定する(ステップS5)。この範囲でリスク指数が閾値未満であれば(YES)、リスクが低い又はリスクが無いものと判定され、顧客のデータ利用者に対して、データを提供する(ステップS6)。一方、リスク指数が閾値以上であれば(YES)、リスクがあるものと判定して、データ利用者に対してデータを提供しない(ステップS7)。
まず、初期設定として、条件判定部6にリスク指数の値に対応する判定基準となる閾値を入力する(ステップS1)。次に、リスク算出に必要な後述する複数のパラメータを設定し、パラメータ管理部4に格納する(ステップS2)。その後、リスク計算部5において、パラメータ管理部4に格納されたパラメータを用いて、後述する3つのリスク要素C1,C2,C3を算出する(ステップS3)。その後、リスク計算部5において、上記リスク要素を用いてリスク指数を算出する(ステップS4)。次に、条件判定部6は、リスク計算部5から算出されたリスク指数に対して予め設定された判定基準の閾値と比較して、閾値未満か否かを判定する(ステップS5)。この範囲でリスク指数が閾値未満であれば(YES)、リスクが低い又はリスクが無いものと判定され、顧客のデータ利用者に対して、データを提供する(ステップS6)。一方、リスク指数が閾値以上であれば(YES)、リスクがあるものと判定して、データ利用者に対してデータを提供しない(ステップS7)。
次に、図3及び図4を参照して、リスク計算部5におけるリスク計算について説明する。
図3は、リスク計算部の中でパラメータからリスク指数を決定するステップの一例を示す図である。図4は、データ提供におけるデータの流れについて説明するための図である。
図3は、リスク計算部の中でパラメータからリスク指数を決定するステップの一例を示す図である。図4は、データ提供におけるデータの流れについて説明するための図である。
図3に示すように、リスク要素C1,C2,C3の算出に際してパラメータ群からパラメータが送られて演算され、算出されたリスク要素C1,C2,C3から損害リスクRi(i=1,2,…)が算出される。
まず、データ流通に伴う損害を被るリスクを、以下のリスク要素C1、C2、C3を変数とする関数で定義する。ここで、データ提供に関わるプレイヤーを整理すると、図4に示すように、データ提供者となる企業をA、その顧客をa、データ利用者(提供先)をBとする。この3者が存在する元でデータ提供時のリスクを算出する。それぞれのリスク要素は、
C1:データ自体に関する項(第1リスク要素)
C2:データ利用者Bに関する項(第2リスク要素)
C3:データ提供者Aとデータ利用者Bの関係性に関する項(第3リスク要素)
とする。
C1:データ自体に関する項(第1リスク要素)
C2:データ利用者Bに関する項(第2リスク要素)
C3:データ提供者Aとデータ利用者Bの関係性に関する項(第3リスク要素)
とする。
これらのリスク要素において、データ自体に関する項C1は、データ自体を表すもの、例えば、データの種類や属性、精度、粒度、希少度に依存する。データ利用者に関する項C2は、データ利用者の状態、例えば、セキュリティ対応状況や財務状況、株価状況、企業規模に依存する。データ提供者とデータ利用者の関係性に関する項C3は、2者間(又は、2社間)の関係性、例えば、業種の同異や従属関係に依存する。各リスク要素もまた複数のパラメータを用いて求められる関数として表される。各リスク要素を用いて任意数で設定される損害リスクを算出する。
本実施形態のリスク判定装置1によるリスク判定の一例について説明する。ここでのリスク要素Cの3項目を以下に仮定する。
C1:プレイヤーごとのデータ自体の重要度
C2:データ利用者のセキュリティレベル
C3:データ提供者とデータ利用者の業種の同異
上記のリスク指数Cを用いて、データ流通に伴う損害を被るリスクを求める。ここでは、1以上のリスクをリスク指数として定量値で求めている。具体的には、総合的な1つの値で求める、もしくは対処の優先度により分類(法的制限、契約内制限、暗黙の了解による制限、等)、または損害の積極度により分類を行って求めることが考えられる。以下では損害の積極度により3つに分類して求める例を示す。積極的損害とは、支払いが生じることであり、反対に消極的損害とは、得られるはずの利益が得られなくなることである。
C1:プレイヤーごとのデータ自体の重要度
C2:データ利用者のセキュリティレベル
C3:データ提供者とデータ利用者の業種の同異
上記のリスク指数Cを用いて、データ流通に伴う損害を被るリスクを求める。ここでは、1以上のリスクをリスク指数として定量値で求めている。具体的には、総合的な1つの値で求める、もしくは対処の優先度により分類(法的制限、契約内制限、暗黙の了解による制限、等)、または損害の積極度により分類を行って求めることが考えられる。以下では損害の積極度により3つに分類して求める例を示す。積極的損害とは、支払いが生じることであり、反対に消極的損害とは、得られるはずの利益が得られなくなることである。
R1:損害賠償の支払い発生リスク(第1リスク)
R2:企業秘密露呈による競争力低下リスク(第2リスク)
R3:顧客離脱による逸失利益発生リスク(第3リスク)
まず、C1:プレイヤーごとのデータ自体の重要度について述べる。図5に示す精神的苦痛レベルと経済的損失レベルの機微度区分を3段階のマトリクスで示している。勿論、この機微度区分は、一例であって、個人により各項目のレベルの大きさは異なっている。
図5に示すように、A.経済的損失レベル(Y軸)が1、精神的レベル(X軸)が1であるものは、氏名、生年月日、性別、住所、電話番号、身体情報(身長、体重、血液型、体力測定値)、婚姻、家族構成、金融機関、免許証番号、業種、職業、会社名、学校名、役職、社員番号、会員番号、住民票コード、健康保険証番号、年金証書番号、健康保険証情報、年金保険証情報、メールアドレス、ハンドル名等とする。また、B.経済的損失レベルが2、精神的レベルが1であるものは、パスポート情報、購入記録、ISPのアカウント&パスポート、口座番号、クレジットカード番号、金融系Web際とのログインアカウント、印鑑登録証明書等とする。C.経済的損失レベルが3、精神的レベルが1であるものは、口座番号と暗証番号、クレジットカード番号とパスワード、金融系Webサイトのログインアカウントとパスワード等とする。
R2:企業秘密露呈による競争力低下リスク(第2リスク)
R3:顧客離脱による逸失利益発生リスク(第3リスク)
まず、C1:プレイヤーごとのデータ自体の重要度について述べる。図5に示す精神的苦痛レベルと経済的損失レベルの機微度区分を3段階のマトリクスで示している。勿論、この機微度区分は、一例であって、個人により各項目のレベルの大きさは異なっている。
図5に示すように、A.経済的損失レベル(Y軸)が1、精神的レベル(X軸)が1であるものは、氏名、生年月日、性別、住所、電話番号、身体情報(身長、体重、血液型、体力測定値)、婚姻、家族構成、金融機関、免許証番号、業種、職業、会社名、学校名、役職、社員番号、会員番号、住民票コード、健康保険証番号、年金証書番号、健康保険証情報、年金保険証情報、メールアドレス、ハンドル名等とする。また、B.経済的損失レベルが2、精神的レベルが1であるものは、パスポート情報、購入記録、ISPのアカウント&パスポート、口座番号、クレジットカード番号、金融系Web際とのログインアカウント、印鑑登録証明書等とする。C.経済的損失レベルが3、精神的レベルが1であるものは、口座番号と暗証番号、クレジットカード番号とパスワード、金融系Webサイトのログインアカウントとパスワード等とする。
さらに、D.経済的損失レベルが1、精神的レベルが2であるものは、人種、民族、国籍、方言、学歴、職歴、賞罰、成績、趣味、特技、嗜好、病気に関する情報(健康診断結果、病歴、手術歴、妊娠歴、看護記録、その他身体検査記録、治療法)、障害に関する情報(身体障害情報、身体障害者手帳情報、知的障害情報)、生体認証情報(指紋、静脈、声紋、網膜、顔画像)、身体特徴(スリーサイズ)、心理テスト結果、性格判断診断結果、日記、メール内容等がある。E.経済的損失レベルが2、精神的レベルが2であるものは、収入・財産等に関する情報であり、年収・年収区分、資産(不動産:土地、動産:証券等)、借用残高、給与額、賞与額、納税額等である。F.経済的損失レベルが3、精神的レベルが2であるものは、例えば、遺言書等である。G.経済的損失レベルが1、精神的レベルが3であるものは、ハラスメント(パワーハラスメント、セクシャルハラスメント等)、信条、宗教、信仰、性癖、現在罹っている病気に関わる情報(病名、病状、保有感染症、カルテ)等である。H.経済的損失レベルが2、精神的レベルが3であるものは、ハラスメントによる失職又は転職情報、会社倒産による失業情報等である。I.経済的損失レベルが3、精神的レベルが3であるものは、反社会的な経歴(逮捕歴、前科前歴、暴力的な政治闘争)の情報、与信ブラックリスト等である。尚、これらの機微度区分は、限定されたものではなく、変更可能である。
以上の機微度区分において、例えば、氏名、住所、生年月日等が苦痛レベルと損失レベルが共にレベル1として、データ危険指数が低いレベルに設定されている。このレベル1は、頻繁に種々の書類やアンケート等に記入している事項であるため、低いレベルに設定されている。また、反対に、データ提供されると、その個人にとって最も高い精神的苦痛レベルと経済的損失レベルを与えるものとしては、例えば、犯罪歴や前科前歴などの反社会的な行動経歴がある。このような反社会的な経歴があると、対人関係に影響したり、雇用関係に人為的な制限が加わり、収入面においても経済的損失レベルは高い。特に、インターネットに情報公開されてしまうと、情報提供が長期に亘り公開されてしまうため、損失としても長期に亘ることとなり高いレベルに設定される。
また、企業にとってのデータ危険指数は、その企業においてもデータの重要さを示すものであるため、その企業が管理している情報区分を数字に置き換えて用いる。この情報区分を数字に置き換えることで使い勝手がよくなり、それぞれを数字に設定するだけで、把握しがたい種々の危険状態を平準的に用いることができる。
次に、C2:データ利用者のセキュリティレベルについて説明する。
データ提供者がデータを提供することによって増加する危険度を、≒データ利用者がインシデント(incident)を発生させる危険度(確率)≒データ利用者のセキュリティレベルと考える。データ利用者のセキュリティレベルは、情報セキュリティ対策ベンチマークのデータを利用する。尚、上記インシデントは、本実施形態においては、中断や阻害、損失、緊急事態、及び危機になり得るそれらを引き起こしうる状況を示唆するものとする。
データ提供者がデータを提供することによって増加する危険度を、≒データ利用者がインシデント(incident)を発生させる危険度(確率)≒データ利用者のセキュリティレベルと考える。データ利用者のセキュリティレベルは、情報セキュリティ対策ベンチマークのデータを利用する。尚、上記インシデントは、本実施形態においては、中断や阻害、損失、緊急事態、及び危機になり得るそれらを引き起こしうる状況を示唆するものとする。
図6は、例えば、一次産業から三次産業のうちのA業種からK業種までの各企業が抱える情報セキュリティに関するリスクを数値化した一例である。図6は、データ利用者の情報セキュリティレベルを表しており、値が高いほど情報漏洩などのインシデントが発生するリスクが高い業種であるとみなす。このリスクを数値化することで、企業間の比較が容易になる。
次に、C3:データ提供者とデータ利用者の業種の同異について説明する。
図7は、データ通信を行う企業間の関係性を示す図である。図7に示すように、A業種からE業種までがネットワークにより接続されていた場合に、データを受け渡しする企業間の関係、特に業種の同異によって、リスクが変わると考えられる。同業種内、例えばA業種の企業A1〜A4の間でのデータ提供は、事業のノウハウや強みなど、競合に知られたくない情報が露呈する危険性がある。これに対し、異業種間でのデータ提供は、リスクが小さいと考えられる。例えば、ヘルスケア関係の企業が車に関するノウハウを知ったところで、活用するのはヘルスケア分野なため、データ提供者に不利益は生じにくい。
図7は、データ通信を行う企業間の関係性を示す図である。図7に示すように、A業種からE業種までがネットワークにより接続されていた場合に、データを受け渡しする企業間の関係、特に業種の同異によって、リスクが変わると考えられる。同業種内、例えばA業種の企業A1〜A4の間でのデータ提供は、事業のノウハウや強みなど、競合に知られたくない情報が露呈する危険性がある。これに対し、異業種間でのデータ提供は、リスクが小さいと考えられる。例えば、ヘルスケア関係の企業が車に関するノウハウを知ったところで、活用するのはヘルスケア分野なため、データ提供者に不利益は生じにくい。
本実施形態では、業種の同異によって、各リスクの重み付けを行う。同業種間の場合、異業種間よりリスクが1.2倍になると仮定し、(異業種:1/同業種:1.2)のどちらかを選択する。
本実施形態におけるリスク指数は、その損害リスクが起こる危険度(確率)と想定損害額(規模)の積で表すものとする。
本実施形態におけるリスク指数は、その損害リスクが起こる危険度(確率)と想定損害額(規模)の積で表すものとする。
次に、R1:損害賠償の支払い発生リスクについて説明する。
損害賠償が発生する危険度(確率)と、想定される損害額の積で表す。(データ提供者の顧客への)損害賠償が発生する危険度(確率)は、顧客との契約違反が起こる危険度(確率)≒データ利用者がデータを漏洩させるなどのインシデント発生を起こす危険度(確率)≒データ利用者のセキュリティレベルを用いる。損害される損害額は、日本ネットワークセキュリティ協会が定めた既存の評価式(非特許文献2を参照)を拡張して用いる。顧客が企業である場合と個人である場合に場合わけされるが、どちらもデータの重要度に比例する値となる。
損害賠償が発生する危険度(確率)と、想定される損害額の積で表す。(データ提供者の顧客への)損害賠償が発生する危険度(確率)は、顧客との契約違反が起こる危険度(確率)≒データ利用者がデータを漏洩させるなどのインシデント発生を起こす危険度(確率)≒データ利用者のセキュリティレベルを用いる。損害される損害額は、日本ネットワークセキュリティ協会が定めた既存の評価式(非特許文献2を参照)を拡張して用いる。顧客が企業である場合と個人である場合に場合わけされるが、どちらもデータの重要度に比例する値となる。
R2:企業秘密露呈による競争力低下リスクについて説明する。
企業秘密の露呈が発生する危険度(確率)と想定される損害額の積によって求められる。企業秘密の露呈が発生する危険度(確率)は、データを提供する時点で発生する場合、データが漏洩等した場合に分けられ、それらを足し合わせたもので定義する。これらは、データ提供者にとってのデータの重要度と、データ利用者のセキュリティレベルによって表す。想定される損害額は、有価証券報告書などの公開資料から、対象データに関わる事業の利益額を抜粋して用いることができると考える。
企業秘密の露呈が発生する危険度(確率)と想定される損害額の積によって求められる。企業秘密の露呈が発生する危険度(確率)は、データを提供する時点で発生する場合、データが漏洩等した場合に分けられ、それらを足し合わせたもので定義する。これらは、データ提供者にとってのデータの重要度と、データ利用者のセキュリティレベルによって表す。想定される損害額は、有価証券報告書などの公開資料から、対象データに関わる事業の利益額を抜粋して用いることができると考える。
R3:顧客離脱による逸失利益発生リスクについて説明する。
顧客離脱により逸失利益が発生する危険度(確率)と想定される損害額の積によって求められる。(R3の求め方はR2と類似している。)顧客離脱が発生する危険度(確率)は、データを提供する時点で顧客離脱する場合(例えば、データを提供すること自体に顧客が不信感を持つような場合)と、データが漏洩した時点で顧客が離脱する場合に分けられ、それらを足し合わせたもので定義する。これらは、データ提供者の顧客にとってのデータの重要度と、データ利用者のセキュリティレベルによって表す。想定される損害額は、上記と同様に有価証券報告書などの公開資料から、対象データに関わる事業の利益額を抜粋して用いることができると考える。
顧客離脱により逸失利益が発生する危険度(確率)と想定される損害額の積によって求められる。(R3の求め方はR2と類似している。)顧客離脱が発生する危険度(確率)は、データを提供する時点で顧客離脱する場合(例えば、データを提供すること自体に顧客が不信感を持つような場合)と、データが漏洩した時点で顧客が離脱する場合に分けられ、それらを足し合わせたもので定義する。これらは、データ提供者の顧客にとってのデータの重要度と、データ利用者のセキュリティレベルによって表す。想定される損害額は、上記と同様に有価証券報告書などの公開資料から、対象データに関わる事業の利益額を抜粋して用いることができると考える。
本実施形態はデータ提供時のリスクを、上記の3つに分類して算出する。算出例には、以下の計算式を用いる。
g:機微度区分や情報区分から求められる情報危険度であり、個人情報の場合はMax(10x-1+5y-1)で表わされ、それ以外はMax(10x-1)で表される。
以上のように定義した場合に、各R1、R2、R3はC1、C2、C3を変数とする関数で表現される。以下に、上記のR1〜R3、C1〜C3の計算例について説明する。こように関数式により、リスクが算出されるため、同じ条件下でいくつかのリスクが算出されるため、算出されたリスクの大きさを適正に比較することができる。
計算例(1):消費者の購買履歴データの提供を検討する場合
実存する企業が保有するデータについて、その企業が他社にデータを提供する時に生じるリスク指数を算出した例について説明する。
実存する企業が保有するデータについて、その企業が他社にデータを提供する時に生じるリスク指数を算出した例について説明する。
図8は、株式会社Mの商品のカテゴリと購入チャネルの一例を示している。
消費者自身が購入した商品のバーコードを専用アプリでスキャンすることでデータを取得しており、「購入者の属性情報」「スキャン日時」「購入先」「商品JANコード」「購入個数」などが含まれる。この株式会社Mが所有しているデータを、他社に提供する場合を例にとって、リスクを算出する。
消費者自身が購入した商品のバーコードを専用アプリでスキャンすることでデータを取得しており、「購入者の属性情報」「スキャン日時」「購入先」「商品JANコード」「購入個数」などが含まれる。この株式会社Mが所有しているデータを、他社に提供する場合を例にとって、リスクを算出する。
ここでは、提供先(データ利用者B)として、1.不動産B1社/2.製造業B2社/3.卸業B3社の3社への提供を考える。各リスク要素C1〜C3について記述したのち、それらをR1〜R3の式に当てはめたリスクの算出について詳細に説明する。
まず、リスク要素C1(プレイヤーごとのデータ自体の重要度)について説明する。
図9に示すように、データ提供者Aにとっての重要度C11(x)は、扱うデータがA社のどの管理情報区分に属するかによって決定する。元々外部に販売用のデータとして収集しているため、管理区分のレベルは低いと考えられる。この例では、C11を0.1に設定する。
まず、リスク要素C1(プレイヤーごとのデータ自体の重要度)について説明する。
図9に示すように、データ提供者Aにとっての重要度C11(x)は、扱うデータがA社のどの管理情報区分に属するかによって決定する。元々外部に販売用のデータとして収集しているため、管理区分のレベルは低いと考えられる。この例では、C11を0.1に設定する。
データ提供者の顧客aにおける重要度C12(x,y)は、扱うデータが顧客(本実施形態の場合は個人)にとって、どの程度、重要であるかを表す。前述した図5には、データの種類ごとに経済的損失レベル、精神的苦痛レベルのマトリクス(2軸の展開)で、個人にとっての重要度(=機微度)を定めている。
図10は、消費者の購買履歴データの一例を示す図である。
購買履歴データが本実施形態で取り扱うデータの種類であるとして、図5に示すマトリクス図を参照して、これらのデータの機微度を求める。このうち、最もxとyが大きくなる値をC12として採用する。ここでは、
居住エリア/性別/年代/未既婚/単身・同居
=[精神的苦痛レベルx=1、経済的損失レベルy=1]、
購入場所/商品カテゴリー/購入チャネル
=[精神的苦痛レベルx=1、経済的損失レベルy=2]、日時=[個人情報以外]
C12→MAX(x, y)=(1, 2)
リスク要素C2(データ利用者のセキュリティレベル)について説明する。
ここでは、図6に示すC,G,Iを例えば、製造業C、卸業G、不動産業Iとして、それぞれに属しているデータ利用者のセキュリティレベルについて説明する。ここでは、各業種のスコアの平均値を用いる。値は、0〜140を0〜1に正規化して用いる。図6においては、値が高いほどセキュリティ対策が施されていることを示し、セキュリティ危険度として、1からその値を引いた値を用いる。
購買履歴データが本実施形態で取り扱うデータの種類であるとして、図5に示すマトリクス図を参照して、これらのデータの機微度を求める。このうち、最もxとyが大きくなる値をC12として採用する。ここでは、
居住エリア/性別/年代/未既婚/単身・同居
=[精神的苦痛レベルx=1、経済的損失レベルy=1]、
購入場所/商品カテゴリー/購入チャネル
=[精神的苦痛レベルx=1、経済的損失レベルy=2]、日時=[個人情報以外]
C12→MAX(x, y)=(1, 2)
リスク要素C2(データ利用者のセキュリティレベル)について説明する。
ここでは、図6に示すC,G,Iを例えば、製造業C、卸業G、不動産業Iとして、それぞれに属しているデータ利用者のセキュリティレベルについて説明する。ここでは、各業種のスコアの平均値を用いる。値は、0〜140を0〜1に正規化して用いる。図6においては、値が高いほどセキュリティ対策が施されていることを示し、セキュリティ危険度として、1からその値を引いた値を用いる。
C21→製造業C:1−0.62=0.38
C22→卸業G:1−0.53=0.47
C23→不動産業I:1−0.60=0.40
次に、リスク要素C3(データ提供者とデータ利用者の業種の同異)について説明する。ここでは、異業種:1/同業種:1.2と設定する。
C22→卸業G:1−0.53=0.47
C23→不動産業I:1−0.60=0.40
次に、リスク要素C3(データ提供者とデータ利用者の業種の同異)について説明する。ここでは、異業種:1/同業種:1.2と設定する。
このケースにおいては、データ提供者Aと利用者B1,B2,B3は異業種であるため、C3→1となる。
その他、想定損害額Nについて説明する。ここでの説明においては、非特許文献2に記載される事項を参考にして用いている。
その他、想定損害額Nについて説明する。ここでの説明においては、非特許文献2に記載される事項を参考にして用いている。
f(C12):顧客aが企業=基礎情報価値[500]×情報危険度[Max(10x-1)]
C12=x ×情報漏洩元組織の社会的責任度[2,1]
尚、情報危険度Max(10x-1)はg(C12)である。
C12=x ×情報漏洩元組織の社会的責任度[2,1]
尚、情報危険度Max(10x-1)はg(C12)である。
f(C12):顧客aが個人=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
C12=(x,y) ×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] 尚、情報危険度Max(10x-1+5y-1)はg(C12)である。
損害賠償額=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] ×事後対応評価[2,1]
[R1の想定損害額]N1=f(C12)
f(C12(x, y)=(1, 2))=500×(10^0+5^1)×1×1=3,000円
この額は、情報が漏洩したときの、顧客1人あたりの想定される損害賠償支払いとなる3千円である。本実施形態の購買履歴のデータを提供している顧客は3万人とすれば、
損害額N1=3,000×30,000→9千万円となる。
C12=(x,y) ×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] 尚、情報危険度Max(10x-1+5y-1)はg(C12)である。
損害賠償額=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] ×事後対応評価[2,1]
[R1の想定損害額]N1=f(C12)
f(C12(x, y)=(1, 2))=500×(10^0+5^1)×1×1=3,000円
この額は、情報が漏洩したときの、顧客1人あたりの想定される損害賠償支払いとなる3千円である。本実施形態の購買履歴のデータを提供している顧客は3万人とすれば、
損害額N1=3,000×30,000→9千万円となる。
[R2, R3の想定損害額]N2
図11に示す有価証券報告書の記載例を参照して説明する。図11に示す(うち当期純利益)N2→ 1,234(千円)と仮定する。
図11に示す有価証券報告書の記載例を参照して説明する。図11に示す(うち当期純利益)N2→ 1,234(千円)と仮定する。
図12は、前述したリスク要素C1、C2、C3と、損害額N1、N2が格納されるパラメータ管理部のテーブルを示している。
上記パラメータを用いてリスク指数R1、R2、R3を求める。リスク指数は、その損害リスクが起こる危険度(確率)と想定損害額(規模)の積をベースに、想定される損害の期待値(額)に比例した値で示している。ここでは、危険度と損害額の積を100万で割った値をリスク指数[単位無]とする。
上記パラメータを用いてリスク指数R1、R2、R3を求める。リスク指数は、その損害リスクが起こる危険度(確率)と想定損害額(規模)の積をベースに、想定される損害の期待値(額)に比例した値で示している。ここでは、危険度と損害額の積を100万で割った値をリスク指数[単位無]とする。
但し、リスク指数R1:損害賠償の支払い発生リスクとする。
損害額Nが起こる危険度(確率)C2について説明する。
損害賠償が発生する危険度を、データ提供によって増加するインシデント発生の危険度として、リスク要素C2(データ利用者のセキュリティレベル)を用いる。
本実施形態では、3社それぞれのリスク要素C21,22,23は、損害の「発生確率」に比例する値であると想定する。
損害賠償の想定損害額(規模)N1は、N1=f(C12)=9千万円であり、C21〜23の値×想定損害額/百万とすると、R1 → 製造業:34.2 卸業:42.3 不動産業:36.0となる。
損害賠償が発生する危険度を、データ提供によって増加するインシデント発生の危険度として、リスク要素C2(データ利用者のセキュリティレベル)を用いる。
本実施形態では、3社それぞれのリスク要素C21,22,23は、損害の「発生確率」に比例する値であると想定する。
損害賠償の想定損害額(規模)N1は、N1=f(C12)=9千万円であり、C21〜23の値×想定損害額/百万とすると、R1 → 製造業:34.2 卸業:42.3 不動産業:36.0となる。
尚、k1の値は、(漏洩による損害発生確率)/(データ提供を実施すること自体による損害発生確率)とする。
データを提供した時点で秘密が露呈する危険性があり、これが第1項にあたる。また、データが漏洩した場合には、さらに秘密露呈の危険性は高まり、これが第2項にあたる。データを提供した時点よりも、データが漏洩したとき危険性が大きく増すと考えられる。
本実施形態では、データ提供時と比較し、データ漏洩時の秘密露呈の確率が5倍に高まると想定し、k1=5に設定している。
秘密露呈による想定損害額(規模)N2は、その事業の最終的な売上利益に影響すると考えて =80,827(千円)とする。図12参照。
(提供による危険度+漏洩による危険度)×想定損害額/百万とすると、R2→製造業:3.91 卸業:4.51 不動産業:4.04となる。図13参照
尚、k2の値は、(漏洩による損害発生確率)/(データ提供を実施すること自体による損害発生確率)とする。
データを提供した時点で顧客が離脱する危険性があり(顧客が不信感を感じるなど)、これが第1項にあたる。データが漏洩した場合には、さらに顧客離脱の危険性は高まる。これが第2項にあたる。
顧客離脱の危険性については、(R2の)秘密露呈の危険性よりも、データを提供した時点での危険性が高いと考えられる。本実施例では、データ提供時と比較しデータ漏洩時の顧客離脱の確率は2倍程度であると仮定し、k2=2とする。
(提供による危険度+漏洩による危険度)×想定損害額/百万とすると、R3→製造業:2.28 卸業:2.51 不動産業:2.38とする。
図13は、計算例(1)に関して、上述したリスク算出結果をまとめて示している。
過去のデータ提供事例において、それぞれリスクを算出し、その値と本実施形態における値を比較することで、本実施形態のデータ提供が過去の事例と比較して安全であるか危険であるかを判断することができる。
過去のデータ提供事例において、それぞれリスクを算出し、その値と本実施形態における値を比較することで、本実施形態のデータ提供が過去の事例と比較して安全であるか危険であるかを判断することができる。
例えば、各リスクR1〜R3について、過去安全に取引できた事例の平均値がR1=50、R2=5、R3=5であるとすると、本実施形態のリスク指数は全て下回るため、テータ提供は、「比較的安全である」と判断できる。
また、本実施形態で想定した提供先の3社を比較すると、特に卸業B2については他の企業よりもリスク指数が高いことから、取引には注意が必要であるといえる。
また、本実施形態で想定した提供先の3社を比較すると、特に卸業B2については他の企業よりもリスク指数が高いことから、取引には注意が必要であるといえる。
次に、計算例(2):鉄道利用履歴データの提供を行った事例について説明する。
他社にデータを提供した事例であって、本実施形態のリスク算出方法を用いて、データ提供時に生じるリスク指数を求めた例について説明する。鉄道会社が自社の鉄道利用履歴データを他社への提供した際に、顧客から批判を受けるリスクの算出例について説明する。以下、各リスク要素C1〜C3について説明したのち、それらをR1〜R3の式に当てはめてリスクを算出する様子について説明する。
他社にデータを提供した事例であって、本実施形態のリスク算出方法を用いて、データ提供時に生じるリスク指数を求めた例について説明する。鉄道会社が自社の鉄道利用履歴データを他社への提供した際に、顧客から批判を受けるリスクの算出例について説明する。以下、各リスク要素C1〜C3について説明したのち、それらをR1〜R3の式に当てはめてリスクを算出する様子について説明する。
次に、リスク要素C1(プレイヤーごとのデータ自体の重要度)について説明する。
図14は、扱うデータの管理情報区分の一例を示す図である。図15は、鉄道利用履歴データの一例を示す図である。
データ提供者Aにおける重要度C11(x)は、扱うデータがどの管理情報区分に属するかによって決定する。ここでは、元々、顧客の個人情報として保管されていたデータであるため、管理区分のレベルは、C11を社外秘0.2とする。
図14は、扱うデータの管理情報区分の一例を示す図である。図15は、鉄道利用履歴データの一例を示す図である。
データ提供者Aにおける重要度C11(x)は、扱うデータがどの管理情報区分に属するかによって決定する。ここでは、元々、顧客の個人情報として保管されていたデータであるため、管理区分のレベルは、C11を社外秘0.2とする。
データ提供者の顧客aにおける重要度C12(x, y)は、扱うデータが顧客(本実施形態の場合は個人)にとって、どの程度、重要であるかを表す。前述した図5に示したデータの種類ごとに経済的損失レベル及び精神的苦痛レベルのマトリクスで、個人における重要度(=機微度)を定めた。図15に示す取り扱うデータに対して、図5を参照して、本実施形態で取り扱うデータの機微度を求める。このうち、最も「x」と「y」が大きくなる値をC12として採用する。
利用日時/生年月/性別 =[精神的苦痛レベルx=1、経済的損失レベルy=1]
乗降駅 =[精神的苦痛レベルx=2、経済的損失レベルy=1]
識別番号、利用額 =[個人情報以外]
よって、C12→MAX(x, y)=(2, 1)となる。
乗降駅 =[精神的苦痛レベルx=2、経済的損失レベルy=1]
識別番号、利用額 =[個人情報以外]
よって、C12→MAX(x, y)=(2, 1)となる。
また、リスク要素C2(データ利用者のセキュリティレベル)について説明する。鉄道利用履歴データは、製造業Cの企業へのデータ提供を行っていたものとする。ここでは、業種の平均値を用いる。図6を参照してリスク要素C2を求める。よって、リスク要素C21→製造業:1−0.62=0.38となる。
リスク要素C3(データ提供者とデータ利用者の業種の同異)について説明する。ここでは、異業種:1/同業種:1.2とする。
本実施形態では、データ提供者Aと利用者Bは異業種であるからC3→1とする。
想定損害額について説明する。ここでの説明においては、非特許文献2に記載される事項を参照する。
本実施形態では、データ提供者Aと利用者Bは異業種であるからC3→1とする。
想定損害額について説明する。ここでの説明においては、非特許文献2に記載される事項を参照する。
f(C12):顧客aが企業=基礎情報価値[500]×情報危険度[Max(10x-1)]
C12=x ×情報漏洩元組織の社会的責任度[2,1]
尚、情報危険度Max(10x-1)はg(C12)である。
f(C12):顧客aが個人=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
C12=(x,y) ×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] 尚、情報危険度Max(10x-1+5y-1)はg(C12)である。
損害賠償額=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] ×事後対応評価[2,1]
[R1の想定損害額]N1=f(C12)
f(C12(x, y)=(2,1))=500×(10^1+5^0)×1×1=5,500円
この値は、情報が漏洩したときの、顧客1人あたりの想定される損害賠償支払いの額である。本実施形態の購買履歴のデータを提供している顧客は約400万人であるので、N1=5,500×4,000,000 →2,200(百万円)となる。
C12=x ×情報漏洩元組織の社会的責任度[2,1]
尚、情報危険度Max(10x-1)はg(C12)である。
f(C12):顧客aが個人=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
C12=(x,y) ×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] 尚、情報危険度Max(10x-1+5y-1)はg(C12)である。
損害賠償額=基礎情報価値[500]×情報危険度[Max(10x-1+5y-1)]
×本人特定容易度[6,3,1] ×情報漏洩元組織の社会的責任度[2,1] ×事後対応評価[2,1]
[R1の想定損害額]N1=f(C12)
f(C12(x, y)=(2,1))=500×(10^1+5^0)×1×1=5,500円
この値は、情報が漏洩したときの、顧客1人あたりの想定される損害賠償支払いの額である。本実施形態の購買履歴のデータを提供している顧客は約400万人であるので、N1=5,500×4,000,000 →2,200(百万円)となる。
[R2, R3の想定損害額]N2について説明する。
図16は、有価証券報告書から関連事業の利益額を概念化的に示している。仮に、N2→ 26,730(千円)とする。
図17は、パラメータ管理部に格納される上記のリスク要素C1、C2、C3と、N1、N2の値の一例を示す図である。図18は、計算例(2)に関するリスク算出結果を示す図である。
図16は、有価証券報告書から関連事業の利益額を概念化的に示している。仮に、N2→ 26,730(千円)とする。
図17は、パラメータ管理部に格納される上記のリスク要素C1、C2、C3と、N1、N2の値の一例を示す図である。図18は、計算例(2)に関するリスク算出結果を示す図である。
図17に記載されるパラメータを用いてリスク指数R1、R2、R3を求める。リスク指数は、その損害リスクが起こる危険度(確率)と想定損害額(規模)の積をベースに、想定される損害の期待値(額)に比例した値で表す。本実施形態は、危険度と損害額の積を百万で割った値をリスク指数[単位無]とする。
その損害が起こる危険度(確率)C2は、損害賠償が発生する危険度を、データ提供によって増加するインシデント発生の危険度として、リスク要素C2(データ利用者のセキュリティレベル)を用いる。
損害賠償の想定損害額(規模)N1について説明する。
f(C12)=2,200(百万円)
但し、リスク要素C2の値×想定損害額/百万とする。
損害賠償の想定損害額(規模)N1について説明する。
f(C12)=2,200(百万円)
但し、リスク要素C2の値×想定損害額/百万とする。
よって、R1→836となる。
但し、k1の値は、(漏洩による損害発生確率)/(データ提供を実施すること自体による損害発生確率)である。データを提供した時点で秘密が露呈する危険性があり、これが第1項にあたる。データが漏洩した場合には、さらに秘密露呈の危険性は高まる。これが第2項にあたる。データを提供した時点よりも、データが漏洩したとき危険性が大きく増すと考えられる。本実施形態はデータ提供時と比較しデータ漏洩時の秘密露呈の確率が5倍に高まると仮定し、k1=5とする。
秘密露呈による想定損害額(規模)N2について説明する。
その事業の最終的な売上利益に影響すると考えて =26,730(千円)
(提供による危険度+漏洩による危険度)×想定損害額/百万とする。
よって、R2→2.58となる。
その事業の最終的な売上利益に影響すると考えて =26,730(千円)
(提供による危険度+漏洩による危険度)×想定損害額/百万とする。
よって、R2→2.58となる。
但し、k2の値は、(漏洩による損害発生確率)/(データ提供を実施すること自体による損害発生確率)である。データを提供した時点で顧客が離脱する危険性があり(顧客が不信感を感じるなど)、これが第1項にあたる。データが漏洩した場合には、さらに顧客離脱の危険性は高まる。これが第2項にあたる。顧客離脱の危険性については、(R2の)秘密露呈の危険性よりも、データを提供した時点での危険性が高いと考えられる。
本実施形態は、データ提供時と比較し、データ漏洩時の顧客離脱の確率が2倍程度であると仮定し、k2=2とする。
事業の売上利益(顧客から得られる利益)=26,730(千円)とする。
但し、(提供による危険度+漏洩による危険度)×想定損害額/百万とする。従って、R3→1.38とする。
但し、(提供による危険度+漏洩による危険度)×想定損害額/百万とする。従って、R3→1.38とする。
以上のように、過去のデータ提供事例において、それぞれリスクを算出し、その値と本実施形態の値を比較することで、本実施形態のデータ提供が過去の事例と比較して安全であるか危険であるかを判断することができる。例えば、各リスクR1〜R3について、過去安全に取引できた事例の平均値がR1=50、R2=5、R3=5であるとすると、この件はR1が平均値より大きく上回っていることが分かる。このことから、顧客への賠償支払いが大きい≒顧客が被る損害(経済的、精神的な損害)の期待値が大きいので、その点に充分に注意して取引をしなければならない、と判断できる。
この実事例は、漏洩等のインシデントを起こした事例ではないが、顧客から大きく批判を受けている。この批判の発生は、顧客への説明不足に起因していた。
本実施形態のリスク計算装置2は、コンピュータで実行させるための駆動用プログラムを用いて前述した第1乃至第3リスク要素及び第1乃至第3リスクを演算出力させることができる。
コンピュータの記憶媒体に、図3に示すパラメータ群、図5に示す機微度区分、その他各種情報及び前述した数式を記憶させておき、オペレータがデータ利用者における設定情報や条件を入力することで演算出力を行い、自動でリスクを算出できる。また、データ提供においても、リスクの判断結果に基づき、該当するデータ使用者に自動で送信することができる。
本実施形態のリスク計算装置2は、コンピュータで実行させるための駆動用プログラムを用いて前述した第1乃至第3リスク要素及び第1乃至第3リスクを演算出力させることができる。
コンピュータの記憶媒体に、図3に示すパラメータ群、図5に示す機微度区分、その他各種情報及び前述した数式を記憶させておき、オペレータがデータ利用者における設定情報や条件を入力することで演算出力を行い、自動でリスクを算出できる。また、データ提供においても、リスクの判断結果に基づき、該当するデータ使用者に自動で送信することができる。
次に、リスク判定装置の構成例について説明する。
本実施形態に係るリスク判定装置1は、出力制御部7の形態を変えることでリスク判定に応じて、さまざまな動作をさせることが可能である。
本実施形態に係るリスク判定装置1は、出力制御部7の形態を変えることでリスク判定に応じて、さまざまな動作をさせることが可能である。
[構成例1]
条件判定部6は、リスク指数をそのまま出力制御部7へ出力する。
出力制御部7は、データ提供者にリスク指数の結果をそのまま発信する。これは、データの粒度を変更させたときのリスク指数を観察することで、適切なデータの重要度を保った提供が可能になる。
条件判定部6は、リスク指数をそのまま出力制御部7へ出力する。
出力制御部7は、データ提供者にリスク指数の結果をそのまま発信する。これは、データの粒度を変更させたときのリスク指数を観察することで、適切なデータの重要度を保った提供が可能になる。
[構成例2]
条件判定部6は、リスク指数を閾値で判定する。これは、複数の企業(又は、データ利用者)への提供を検討している場合には、閾値未満→提供可/閾値以上→提供不可の判断により、データ提供先となる企業(又は、データ利用者)の選択を行う。
出力制御部7は、アクセス先(提供先)を制御して、提供可と判断された企業(又は、データ利用者)にのみデータの転送を行う。
条件判定部6は、リスク指数を閾値で判定する。これは、複数の企業(又は、データ利用者)への提供を検討している場合には、閾値未満→提供可/閾値以上→提供不可の判断により、データ提供先となる企業(又は、データ利用者)の選択を行う。
出力制御部7は、アクセス先(提供先)を制御して、提供可と判断された企業(又は、データ利用者)にのみデータの転送を行う。
[構成例3]
条件判定部6は、リスク指数を閾値で判定する。これは、データの種類や開示度を複数のパターンで入力して、適切なリスク範囲の中で最も情報を開示できるデータを選択する。
出力制御部7は、アクセス先を制御して、あるリスク指数未満のデータセットのみ転送を行う。
条件判定部6は、リスク指数を閾値で判定する。これは、データの種類や開示度を複数のパターンで入力して、適切なリスク範囲の中で最も情報を開示できるデータを選択する。
出力制御部7は、アクセス先を制御して、あるリスク指数未満のデータセットのみ転送を行う。
以上説明した本実施形態のリスク算出装置及びリスク算出方法は、データ提供の実施により発生するリスクを包括的にモデル化し、定量的なリスク算出の枠組みを実現できる。データ自身だけではなく、データ提供に関わるプレイヤーを整理し、且つデータの送受者間の関係性を反映させることで、データ提供時に企業が負うリスクが包括的に表現できる。よって、多面的な視点から企業が負う損害リスクを観察しながら、データ提供の可否を決定することができる。
1…リスク判定装置、2…リスク算出装置、3…条件判定装置、4…パラメータ管理部、5…リスク計算部、6…条件判定部、7…出力制御部。
Claims (8)
- 複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、前記機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、データ提供者が1以上のデータ利用者に前記データを提供する際のリスクを算出させる、コンピュータを用いるリスク計算装置であって、
少なくともデータの種類及び属性により前記機微度で区分されたデータに対するデータ自体に関する第1リスク要素と、少なくともデータ利用者によるインシデントの発生危険度を含む、データ利用者に関する第2リスク要素と、及びデータを受け渡しするデータ提供者とデータ利用者の関係性に関する第3リスク要素と、前記複数のパラメータと、を格納するパラメータ管理部と、
前記複数のパラメータを用いて、前記第1リスク要素と、前記第2リスク要素と、前記第3リスク要素を算出し、前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素のデータ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出するリスク計算部と、
を有するリスク計算装置。 - 前記リスク計算部では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する、請求項1に記載のリスク計算装置。
- 前記リスク計算部は、
前記第1リスク要素をC1とし、前記第2リスク要素をC2とし、及び前記第3リスク要素をC3とし、前記第1リスクをR1とし、前記第2リスクをR2とし、前記第3リスクをR3とした際に、
関数式を用いて、前記第1リスク、前記第2リスク及び前記第3リスクをそれぞれリスク指数として算出する、請求項2に記載のリスク計算装置。 - 請求項1乃至3のいずれか1つに記載の前記リスク計算装置と接続され、
前記リスク計算装置の前記リスク計算部から出力されるリスク指数に対して、予め定めた閾値と比較し、前記リスク指数が予め定めた閾値未満となるデータ利用者に対して、前記データを選択的に提供することを判定する条件判定部と、
前記条件判定部で選択された前記データ利用者にのみデータを提供する出力制御部と、を有する条件判定装置と、で構成されるリスク判定装置。 - 複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、前記機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、データ提供者が1以上のデータ利用者に前記データを提供する際のリスクを算出させる、コンピュータを用いるリスク計算方法であって、
データの種類及び属性を含むデータに対する機微度により区分されたデータ自体に関する第1リスク要素と、データ提供によりデータ利用者がインシデントの発生を起こすデータ利用者に関する第2リスク要素と、及びデータを受け渡しする二者間で発生するデータ提供者とデータ利用者の関係性に関する第3リスク要素とを、前記複数のパラメータを用いて求められる関数として算出し、
前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素を用いて、データ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出する、リスク計算方法。 - 前記リスクの計算では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクを含む複数のリスクを前記リスク指数として算出する、請求項5に記載のリスク計算方法。
- 複数のパラメータを含むパラメータ群と、任意に設定された機微度の区分と、前記機微度の区分に従ったレベル毎に分けられる複数のデータと、インシデントに関する情報と、を記憶する記憶媒体から、入力された設定情報や条件に沿ったパラメータを読み出し、
少なくともデータの種類及び属性により前記機微度で区分されたデータに対するデータ自体に関する第1リスク要素と、少なくともデータ利用者によるインシデントの発生危険度を含む、データ利用者に関する第2リスク要素と、及びデータを受け渡しするデータ提供者とデータ利用者の関係性に関する第3リスク要素と、前記複数のパラメータと、を格納するパラメータ管理と、
前記複数のパラメータを用いて、前記第1リスク要素と、前記第2リスク要素と、前記第3リスク要素を算出し、前記第1リスク要素、前記第2リスク要素及び前記第3リスク要素のデータ流通に伴う損害を被る損害リスクが起こる危険度と想定損害額の積に対して想定される損害の金額に比例した値をリスク指数として算出するリスク計算と、
をコンピュータで実行させるための請求項1に記載のリスク計算装置の駆動用プログラム。 - 前記リスク計算では、損害賠償の支払いが発生する第1リスクと、企業秘密露呈による競争力が低下する第2リスクと、顧客離脱による逸失利益が発生する第3リスクとを前記リスク指数として算出することを、コンピュータで実行させるための請求項7に記載のリスク計算装置の駆動用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017037754A JP6861051B2 (ja) | 2017-02-28 | 2017-02-28 | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017037754A JP6861051B2 (ja) | 2017-02-28 | 2017-02-28 | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018142284A JP2018142284A (ja) | 2018-09-13 |
| JP6861051B2 true JP6861051B2 (ja) | 2021-04-21 |
Family
ID=63526757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017037754A Active JP6861051B2 (ja) | 2017-02-28 | 2017-02-28 | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6861051B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020144735A1 (ja) * | 2019-01-08 | 2020-07-16 | 三菱電機株式会社 | プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム |
| EP4287056A1 (en) * | 2021-01-28 | 2023-12-06 | Hitachi, Ltd. | Data distribution control method, data distribution control system, and authorization server |
-
2017
- 2017-02-28 JP JP2017037754A patent/JP6861051B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018142284A (ja) | 2018-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gaitonde et al. | Interventions to reduce corruption in the health sector | |
| Helveston | Consumer protection in the age of big data | |
| MacCarthy | Standards of fairness for disparate impact assessment of big data algorithms | |
| Politou et al. | Profiling tax and financial behaviour with big data under the GDPR | |
| US20140058763A1 (en) | Fraud detection methods and systems | |
| Kim et al. | People Analytics and the Regulation of Information Under the Fair Credit Reporting Act | |
| KR102005733B1 (ko) | 온라인 빅데이터 분석을 통해 도출된 신용도 평가 결과를 이용한 블록체인 기반 p2p 금융 서비스 제공 시스템 | |
| Kaur et al. | Impact of age, gender, income, education and financial literacy towards retirement planning among generation'Y'in Malaysia | |
| McGurk | Data profiling and insurance law | |
| Hancock et al. | Exploring jealousy and envy in communal relationship revenge-seeking | |
| JP6861051B2 (ja) | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 | |
| Cordero et al. | Assessing Panamanian hospitals' performance with alternative frontier methods | |
| Genovesi et al. | Standardizing fairness-evaluation procedures: interdisciplinary insights on machine learning algorithms in creditworthiness assessments for small personal loans | |
| Htay et al. | Shariah Scholars' View Point on the Practice of Underwriting and Risk Rating for Family Takaful Model | |
| Miller | Privacy of digital health information | |
| TWI814707B (zh) | 有助於金融交易之方法和系統 | |
| Omol et al. | Factors influencing acceptance of mobile money applications in enterprise management: A case study of micro and small enterprise owners in kisumu central business district, Kenya | |
| Radovanović et al. | A fair classifier chain for multi‐label bank marketing strategy classification | |
| Plemmons | Does occupational licensing costs disproportionately affect the self-employed? | |
| Ebeling | Uncanny commodities: Policy and compliance implications for the trade in debt and health data | |
| Kusuma et al. | Determinants of accounting frauds: Perceptions of Indonesian civil servants | |
| Bhardwaj et al. | Decision-making optimisation in insurance market using big data analytics survey | |
| Chatterjee et al. | An integrated fuzzy cognitive map approach in modelling factors of management quality in banking performance | |
| Chu Chee et al. | Factors affecting mobile banking adoption | |
| Rosenblat et al. | Data & civil rights: Employment primer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190305 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200218 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200401 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200915 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201026 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210323 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210329 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6861051 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |