Gordon-Loeb-Lucyshynモデルを拡張した
情報セキュリティ情報共有のインセンティブ分析

 Incentive Analysis of Sharing Security Information Based
on Modified Gordon-Loeb-Lucyshyn Models 

 産業技術総合研究所、中央大学      田　沼　　　均

 National Institute of Advanced Industrial Science and Technology, Chuo University　　 Hitoshi TANUMA

産業技術総合研究所、中央大学      大　塚　　　玲

 National Institute of Advanced Industrial Science and Technology, Chuo University　   　 Akira OTSUKA

 東京大学生産技術研究所      松　浦　幹　太

 　　　　　　　　　　　　　The University of Tokyo       Kanta MATSUURA

産業技術総合研究所、中央大学     今　井　秀　樹

 National Institute of Advanced Industrial Science and Technology, Chuo University　　          Hideki IMAI

要　旨

本論文はGordon、Loeb、Lucyshynによって提案された情報セキュリティにおける情報共有モデルを拡張して、より現実的で具体的な3つの場合についての経済分析について述べる。Gordon-Loeb-Lucyshynモデルは知見導出に優れた抽象的解析モデルとして最も広く知られるGordon-Loeb情報セキュリティ投資モデルをベースとするが、2企業系であり、情報共有の際によく使われる情報共有組織の効果が考慮されていない。そこで一般的な多企業系を調べるn企業系へ拡張した場合及び、公益情報共有組織を介して情報共有を行う場合について分析し、さらにGordon-Loeb-Lucyshynモデルを利用した政策や制度の議論の一つとして、情報共有の代償として補助金を提供する場合を分析した。分析の結果、次の知見を得た。Gordon-Loeb-Lucyshynモデルによる結果は行動が同一方向性を持つ企業間での情報共有において多企業系でも成立する。公益情報共有組織を介した情報共有は企業のただ乗り問題のために公益組織が過剰支出し、社会全体のコストの上昇を招く可能性がある。公益情報共有組織を介した情報共有の場合においても情報共有に対するインセンティブメカニズムが必要となる。情報共有インセンティブとしてセキュリティコストを直接補填する補助金を企業に与える場合、与える補助金の額が不十分では効果が出ない。補助金をコストの補填に充てず、まず技術開発などのセキュリティ投資を行い、得られた情報を情報共有インセンティブとして企業に与える間接的補助金による方法では、補助金によるセキュリティ投資が企業にとってセキュリティレベルの向上に効果があるならば情報共有インセンティブとして有効である。間接的補助金は過剰支出して社会全体のセキュリティコスト上昇を招く可能性がある。

キーワード

　情報共有、経済分析、インセンティブ、ただ乗り問題、補助金　

------------------------------------------------------------------------------------

地方自治体における情報セキュリティ・レベルの向上
〜倫理的接近の必要性とその展開〜 

Advanced Information Security in The Local Government
“The Evolution and Need of Ethical Approach” 

横浜商科大学　　吉　田　健一郎

Yokohama college of commerce　Kenichiro YOSHIDA

情報セキュリティ大学院大学　　島　田　達　巳

INSTITUTE of INFORMATION SECURITY　Tatsumi SHIMADA

要　旨

ICT（Information and Communication Technology）の進展に伴い、民間企業であっても地方自治体（以下自治体と略称）であっても、情報セキュリティを確保する体制作りが不可欠となっている。そうした問題意識のもと、本稿では自治体のセキュリティ・レベル向上を目的として、情報セキュリティについて先進的な自治体を取り上げて分析を行い、民間企業との比較考察を行った。

その結果、情報セキュリティに先進的な自治体であっても、法令や技術からの接近が中心となっており、情報セキュリティ・レベルの向上には倫理に先進的な企業での経験を生かした倫理的接近と制度化が求められる。具体的には、内発的な倫理綱領の作成に始まり、具体性をもって浸透させる仕組みの構築と制度改革を実行・維持できる人材の確保が必要と言えよう。

キーワード

　情報セキュリティ、情報倫理、地方自治体、セキュリティ・レベル、倫理の制度化

------------------------------------------------------------------------------------

多重リスクコミュニケータの
企業向け個人情報漏洩問題への適用

Application of “Multiple Risk Communicator” to the
　Personal Information Leakage Problem in the enterprise

東京電機大学　　　谷　山　充　洋

 Tokyo Denki University　 Mitsuhiro TANIYAMA

セコムトラストシステムズ株式会社　　　日　高　　　悠

SECOM Trust Systems Co.,Ltd　　           Yuu HIDAKA

日立製作所 研究開発本部　　　荒　井　正　人

Hitachi,Ltd.　　　　 Masato ARAI

日立製作所 システム開発研究所　　　甲　斐　　　賢

Hitachi,Ltd.　　　　 Satoshi KAI

日立製作所 システム開発研究所　　　伊　川　宏　美

Hitachi,Ltd.　　　　 Hiromi IGAWA

東京電機大学,JST社会技術研究開発センター　　　矢　島　敬　士

Tokyo Denki University, RISTEX of the Japan Science and Technology Agency　          Hiroshi YAJIMA

東京電機大学,JST社会技術研究開発センター　　　佐々木　良　一

Tokyo Denki University, RISTEX of the Japan Science and Technology Agency　         Ryoichi SASAKI

要　旨

情報社会の進展につれて,社会的リスクも多様化し,様々な社会問題を引き起こしている.このような問題に対処しようとすると，セキュリティに対するリスクだけでなく，プライバシーに対するリスクや利便性，さらにはコストといった複雑に絡みあう要素，対立する利害関係を考慮する必要がある.このような問題を解決するために，著者らは，情報社会におけるリスクコミュニケーションを支援する「多重リスクコミュニケータ（MRC）」を提案し,支援ツールである「MRCプログラム」の開発を行い,現在まで内部統制問題,暗号危殆化問題,個人情報漏洩問題など様々な問題に適用してきた.MRCを内部統制問題と暗号危殆化問題に適用した結果とその考察は,論文としてすでに報告されてきたが,個人情報漏洩問題への適用に関する論文化はまだなされてこなかった.そこで,本論文では,今までの個人情報漏洩問題への種々の適用を通じて得られた最良と思われる適用方法を示すとともに,適用に基づき得られた知見や適用結果の考察ならびに今後の展開を報告する．これらは,今後の個人情報漏洩問題への適用に有益なものであるが,特に今回の個人情報漏洩問題への適用により初めて採用したパラメータ値設定のためのテンプレート利用方法などの適用手順は,今後,いろいろな人がMRCを適用する際に分析時間の短縮に大いに役立つものであると考えられる。

キーワード

　多重リスクコミュニケータ, リスク分析, リスクコミュニケーション, 個人情報漏洩, 教育

------------------------------------------------------------------------------------

多重リスクコミュニケータの教育方法の提案と分析

Proposal and Analysis of Education Method of “Multiple Risk Communicator”

東京電機大学　　　谷　山　充　洋

 Tokyo Denki University　 Mitsuhiro TANIYAMA

東京電機大学,JST社会技術研究開発センター　　　佐々木　良　一

Tokyo Denki University, RISTEX of the Japan Science and Technology Agency　         Ryoichi SASAKI

要　旨

情報社会の進展につれて,社会的リスクも多様化し,様々な社会問題を引き起こしている.このような問題に対処しようとすると，セキュリティに対するリスクだけでなく，プライバシーに対するリスクや利便性，さらにはコストといった複雑に絡みあう要素，対立する利害関係を考慮する必要がある.このような問題を解決するために，著者らは，情報社会におけるリスクコミュニケーションを支援する「多重リスクコミュニケータ（MRC）」を提案し,支援ツールである「MRCプログラム」の開発を行ってきた．MRCとMRCプログラムは今までに個人情報漏洩問題や内部統制問題などに適用されその有効性が確認されてきた.しかし，MRCの主要な利用者はリスク分析などを行う専門家であるが，従来は使い方を個別に教えてもらった特定の人だけしか利用できなかった.一方,MRCプログラムはソフトウェア「Mathematica5.2」がインストールされているPCであれば,インターネットを経由して誰でも使用できるように設計されている.そこで著者らは,(1)MRCをより多くの人に使ってもらい利用者を増やすとともに,(2)利用者の意見を集めMRCを改良していきたいと考えた.これより著者らは,MRCのことを知らない人が容易にMRCの概念や適用手順を理解し,さらにMRCプログラムを使用できるようになる教育方法を考え,これらを3つの被験者グループを対象に実験した.本論文では,MRCの教育方法とその実験結果を示すと共に,今回の実験より明らかになったMRCの新しい利用方法や,MRCの改善点を報告する。

キーワード

　多重リスクコミュニケータ, リスク分析, リスクコミュニケーション, 個人情報漏洩, 教育

------------------------------------------------------------------------------------