被害規模（漏えい件数）で情報漏洩を見ているとのこと。

ベライゾン ビジネス発行の「2009年 データ漏洩／侵害調査報告書」は、2008年に同社が調査に携わったおよそ90件のデータ漏洩／侵害事例（インシデント）に関する調査／分析レポートである。“犯罪科学捜査官”的な観点から同社リスクチームが各インシデントを子細に分析し、「漏洩／侵害を引き起こしたのは誰か」、「その原因となった過失や犯罪者の手口はどのようなものだったのか」、そして「企業／組織はどうすればセキュリティ・リスクを低減させることができるか」について、具体的なデータに基づき明らかにしている。
同報告書の特徴は、インシデントの発生件数だけではなく、それぞれがもたらした「被害の規模（＝漏洩／侵害したデータ件数）」にもスポットを当てている点だ。ある原因に基づくインシデントの発生件数が少ない（発生確率が低い）としても、1件あたりの被害規模が大きければ、当然、インシデント発生時に企業／組織が受けるインパクトも大きい。予想される被害規模までを加味してセキュリティ・リスクを判断することにより、企業／組織はより効率的なセキュリティ対策を講じることができるようになるわけだ。

http://www.computerworld.jp/news/sec/156849.html