フランス CNIL サイバー犯罪：個人データに対するリスクと影響 (2025.11.28)

こんにちは、丸山満彦です。

CNILが、個人データの経済的価値についての調査をしています。３部作の最終回。

個人データ侵害の被害者が被る物質的損害についての内容...興味深いですね...

被害の頻度と金銭的影響：

• 41% の回答者が過去3年間に自身のデータが不正利用された経験があり、そのうち21% が金銭的損害を受けた

• 平均的な金融損失は740ユーロで、特に身元盗用（アイデンティティ窃盗）による被害額が平均915ユーロと最も高額

行動への影響と信頼の喪失：

• 被害に遭った人の67% がリスクを減らすために行動を変えた

• 57% は個人データの不正利用を恐れてデジタルサービスの利用を中止した

• これは、ネット犯罪がデジタル経済への信頼を損ない、経済活動に間接的な悪影響を及ぼすことを示している。

偏った被害の分布：

• 金銭的被害は一部の人に集中

• 被害者の半数は200ユーロ未満の損失

• 14% は1,000ユーロを超える被害

行動バイアスの問題：

• 人は経験から学習するため、実際に被害に遭うまでネット犯罪のリスクを過小評価する傾向がある

• 「経験と説明のギャップ」が適切な保護対策の導入を妨げている

個人の防御意識向上と企業の投資強化が不可欠であり、サイバー保険など新たな手段の活用も有効

 

 

● CNIL

・2025.11.26 Cybercriminalité : risques et conséquences pour les données personnelles

・2025.11.28 Cybercrime: what risks and consequences for personal data?

Cybercrime: what risks and consequences for personal data?	サイバー犯罪：個人データにどのようなリスクと影響があるのか？
The CNIL commissioned a survey on French people's perceptions of the use of their personal data and consent to online advertising. This final article in a series of three publications looks at the financial harm for victims of personal data breaches.	CNILは、フランス人の個人データ利用に対する認識とオンライン広告への同意に関する調査を委託した。この3回シリーズの最終記事では、個人データ漏えいの被害者が被る金銭的損害について考察する。
Cybercrime related to personal data (e.g. data breach or theft) is a well-known and widely discussed phenomenon, however, its actual impact for individuals remains difficult to quantify.	個人データに関連するサイバー犯罪（データ侵害や窃盗など）は広く認知され議論されている現象だが、個人への実際の影響は依然として定量化が難しい。
Estimates of its total cost for society vary significantly depending on the source. For example, in France, Statista assessed the cost for organizations at €119 billion in 2024, while the consulting firm Asterès estimated it at only €2 billion for 2022. In light of these large discrepancies, CNIL sought to better quantify the financial and non-financial harms borne by individuals (e. g. losses, changes in behaviour) as a result of the fraudulent use of their personal data. The CNIL also studied how the nature of cybercrime harms is likely to induce behavioural biases leading to risky behaviour.	社会全体の総コストに関する推定値は情報源によって大きく異なる。例えばフランスでは、Statistaが2024年の組織へのコストを1190億ユーロと評価した一方、コンサルティング会社Asterèsは2022年時点でわずか20億ユーロと見積もっている。こうした大きな乖離を踏まえ、CNILは個人データの不正利用によって個人が被る金銭的・非金銭的損害（損失、行動変化など）をより正確に量化しようとした。CNILはまた、サイバー犯罪被害の性質が、リスクを伴う行動につながる行動バイアスを誘発する可能性についても研究した。
This study echoes a theme previously explored in another CNIL publication that identified underinvestment in cybersecurity as a structural issue among companies. This new study shows that the very nature of cyber risk is susceptible to generate behavioural biases in individuals, hindering the emergence of an ecosystem resilient against cybercrime.	この研究は、企業のサイバーセキュリティ投資不足を構造的問題として指摘したCNILの別の出版物で以前に探求されたテーマを反映している。この新たな研究は、サイバーリスクの本質そのものが個人に行動バイアスを生じさせやすく、サイバー犯罪に耐性のあるエコシステムの構築を妨げていることを示している。
This question was studied by CNIL, through an online survey conducted by Harris Interactive from December 18 to 23 2024 among a representative sample of 2,082 French residents aged 15 and older. Respondents were asked whether they had experienced fraudulent or unauthorized use of their personal data, and what material or immaterial harms had resulted.	この問題は、ハリス・インタラクティブ社が2024年12月18日から23日にかけて実施したオンライン調査を通じてCNILが研究した。調査対象は15歳以上のフランス居住者2,082名の代表者サンプルである。回答者には、個人データの不正利用または無断利用を経験したか、またその結果生じた物質的・非物質的損害について質問した。
The frequency and gravity of cybercrimes relating to personal data	個人データに関連するサイバー犯罪の頻度と深刻度
The survey reveals that incidents involving the unauthorized use of personal data are frequent. 41% of respondents reported having already experienced fraudulent use of their data, and among them, 21% reported having suffered financial damage.	調査によれば、個人データの不正利用を伴うインシデントは頻繁に発生している。回答者の41％が既にデータの不正利用を経験したと報告し、そのうち21％が金銭的損害を被ったと回答した。
The average declared financial loss is €740. Identity theft stands out as the type of breach leading to the highest financial damage (with an average financial loss of 915 euros).	申告された平均金銭的損失額は740ユーロである。特に身元盗用は、最も高い金銭的損害をもたらす侵害類型として際立っており（平均損失額915ユーロ）、
Poorly protected personal data thus leads to tangible harms, clearly quantified by individuals, with impacts perceived as particularly significant, especially for lower-income groups.	防御が不十分な個人データは、個人によって明確に数値化される具体的な損害を引き起こし、特に低所得層においてその影響が特に重大であると認識されている。
Fraudulent use of personal data perceived by individuals in the last 3 years	過去3年間に個人が認識した個人データの不正利用
Among those affected by these incidents, 30% reported them to a public authority (police, CNIL). The most common reaction is changing one’s behavior to reduce perceived risk, as mentioned by 67% of respondents.	被害を受けた者のうち、30％が公的機関（警察、CNIL）に通報した。最も一般的な対応は、認識されたリスクを軽減するための行動変容であり、回答者の67％がこれを挙げた。
These incidents also have a lasting impact on individuals’ trust: they lead to greater distrust and to the abandonment of certain digital services, particularly online shopping. Thus, 57% of individuals who suffered harm over the past three years reported giving up using a digital service out of fear that their personal data might be misused, compared with 35% for the general population.	これらのインシデントは個人の信頼にも持続的な影響を与える：不信感の増大や、特にオンラインショッピングといった特定デジタルサービスの利用放棄を招く。実際、過去3年間に被害を受けた個人の57％が、個人データの悪用を恐れてデジタルサービスの利用を断念したと報告している。これは一般人口の35％を大きく上回る数値だ。
Beyond direct financial losses, cybercrime fosters a climate of mistrust toward the digital economy, discouraging online transactions and thus amplifying its overall impact on both individuals and companies. These are the indirect costs of cybercrime, a notion already discussed by CNIL.	直接的な金銭的損失を超えて、サイバー犯罪はデジタル経済に対する不信感を助長し、オンライン取引を阻害する。これにより個人と企業の双方への全体的な影響が増幅される。これらはサイバー犯罪の間接的コストであり、CNILが既に議論している概念である。
41% of respondants report having already experienced fraudulent use of their data in the last three years.	回答者の41%が、過去3年間に自身のデータが不正利用された経験があると報告している。
More than half the respondants that experienced fraudulent use of their data in the last three years have given up using a digital service afterwards.	過去3年間にデータ不正利用を経験した回答者の半数以上が、その後デジタルサービスの利用を断念している。
Harms: an unequal distribution of financial consequences	被害：金銭的影響の不均等な分布
The CNIL observes a strong concentration of financial harms among a small number of respondents. Among the 2,082 people surveyed, total reported losses amounted to €131,614, i.e. an average of €63 per respondent. However, this average conceals considerable disparities: one person alone reported nearly €20,000 in financial harm.	CNILは、金銭的被害が少数の回答者に集中していることを確認している。調査対象2,082名の総被害額は131,614ユーロ（回答者1人あたり平均63ユーロ）であった。しかしこの平均値は著しい格差を隠している。1人だけで約20,000ユーロの金銭的被害を報告した事例があった。
Half of those experiencing financial harm reported amounts below €200, while 14% suffered damages exceeding €1,000, highlighting the highly uneven distribution of cybercrime-related harms.	金銭的被害を受けた人の半数は200ユーロ未満の被害額を報告した一方、14％は1,000ユーロを超える損害を被っており、サイバー犯罪関連の被害が極めて不均等に分布していることを浮き彫りにしている。
The most serious incidents therefore appear as relatively rare but particularly severe.	したがって、最も深刻なインシデントは比較的稀だが特に重大な被害をもたらすものとして現れる。
The figure below illustrates this phenomenon by showing the distribution of financial harms across the population.	下図は、人口全体における金銭的被害の分布を示すことでこの現象を説明している。
Distribution of financial harms of cybercrime	サイバー犯罪による金銭的被害の分布
Guidance for reading the graph: The peak on the left side of the distribution represents the majority of individuals who experience financial harm of only around €100. However, a minority is affected by much higher amounts, which significantly lengthens the tail of the distribution (on the right side).	グラフの読み方： 分布の左側にあるピークは、約100ユーロ程度の金銭的被害しか経験していない大多数の個人を表している。しかし、ごく少数の個人がはるかに高額な被害を受けており、これが分布の尾（右側）を著しく長くしている。
These figures also highlight the relevance and potential value, not only for companies but also for individuals, of emerging cyber insurance products developed by insurers and brokers, and can contribute to actuarial analyses in this area.	これらの数値は、保険会社やブローカーが開発した新興のサイバー保険商品が、企業だけでなく個人にとっても関連性と潜在的な価値を持つことを示しており、この分野の保険数理分析に貢献し得る。
Understanding behavioural biases to avoid falling victim to them	行動バイアスを理解し、被害に遭わないようにする
In experimental economics, it is well established that individuals tend to overweight the likelihood of rare events and display risk aversion when faced with potential losses (Kahneman & Tversky, 1979). From this perspective, one might expect individuals to be particularly well prepared for the risk of cybercrime.	実験経済学では、個人が稀な事象の発生確率を過大評価し、損失の可能性に直面するとリスク回避的になる傾向があることが確立されている（Kahneman & Tversky, 1979）。この観点から、個人はサイバー犯罪のリスクに対して特に備えていると予想されるかもしれない。
However, this bias only occurs when the probabilities of different events are explicitly stated to individuals (e.g. in weather forecasts). For many events, people instead infer probabilities from their past experiences. In such cases, the likelihood of rare events tends to be underestimated, a phenomenon known as the description–experience gap (Hertwig et al., 2004, Hertwig & Erev, 2009).	しかしこのバイアスは、異なる事象の確率が個人に明示的に提示された場合（例：天気予報）にのみ生じる。多くの事象では、人々は過去の経験から確率を推測する。この場合、稀な事象の発生確率は過小評価されがちであり、これは記述と経験のギャップとして知られる現象である（Hertwig et al., 2004, Hertwig & Erev, 2009）。
In cybersecurity, the likelihood of an incident is never really observable, except through surveys designed to estimate it. Individuals therefore primarily learn through experience, which creates a tendency to underestimate the risk of cybercrime. Many respondents thus indicated to the survey that their perception of risk increased after a data breach. Hence, a low initial perception of risk, which biases individuals’ cost–benefit analyses, makes it more difficult to incentivize the adoption of appropriate protective measures.	サイバーセキュリティ分野では、インシデント発生の確率は、それを推定するための調査を通じてでなければ、実際には観測できない。したがって個人は主に経験を通じて学ぶため、サイバー犯罪のリスクを過小評価する傾向が生じる。多くの回答者は調査で、データ侵害後にリスク認識が高まったと示した。つまり、初期のリスク認識が低いと個人の費用便益分析にバイアスがかかり、適切な保護対策の導入を促すインセンティブが弱まる。
Through this study and its regular publications on the subject, the CNIL aims to alert individuals to the reality of this threat so that they can adopt appropriate behaviors. This awareness-raising mission complements the CNIL’s other actions related to enforcement towards organizations that do not sufficiently protect personal data.	本調査及び関連する定期刊行物を通じて、CNILは個人に対しこの脅威の現実を認識させ、適切な行動を取らせることを目指している。この啓発活動は、個人データを十分に防御しない組織に対するCNILの執行措置を補完するものである。
Did you know?	ご存知ですか？
Among every 1,000 readers of this publication, approximately 13 are likely to experience fraudulent use of their personal data within the next three years, resulting in financial harm exceeding €1,000.	この出版物を読む1,000人につき、約13人が今後3年以内に個人データの不正利用を経験し、1,000ユーロを超える金銭的損害を受ける可能性が高い。
To reduce the likelihood of becoming a victim and the associated negative consequences (financial, psychological…), adopt the essential protective reflexes without delay.	被害者となる確率とそれに伴う負の結果（金銭的、心理的…）を減らすため、遅滞なく基本的な防御習慣を身につけよ。
Learn more : Cybersecurity Guidelines	詳細はこちら：サイバーセキュリティガイドライン
Related articles	関連記事
[1/3] Are we ready to pay for online services without targeted advertising?	[1/3] ターゲティング広告なしでオンラインサービスを利用できるか？
[2/3] Monetisation of personal data: how much is our data worth?	[2/3] 個人データの収益化：データにどれほどの価値があるのか？
Read more	続きを読む
All our contents about data economy	データ経済に関する全コンテンツ

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.22 フランス CNIL 私たちのデータはどれほどの価値があるのか？ (2025.11.18)