情報漏えいの損害額はいくらになる? 経営者を納得させるためのセキュリティ対策費用の考え方
サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏が示す「情報漏えい」対策
情報漏えい被害が発生すると、損害額はどのくらいになるのか
では、実際に情報漏えいが発生してしまった場合、どのくらいの損害費用がかかるのか。渡辺氏は、日本ネットワークセキュリティ協会(JNSA)の資料から、2018年にニュースとして報道された情報漏えい事故の平均値を示した。これによると、漏えいした個人情報の数は561万3,797人、事故の件数は443件、想定される損害賠償額は2,684億5,743万円。事故1件あたりの平均想定損害賠償額は6億3,767万円、1人あたりに換算すると2万9,768円となっている。
[画像クリックで拡大]
たとえば、日本年金機構の情報漏えい事故のケースでは、事故後にかかった費用として「専用電話窓口の開設・運営」に2億3,600万円、「謝罪文」に1億3,200万円、「詐欺被害防止用チラシの配布」に3,100万円であったことが明らかになっている。
また、あるECサイトでのサイト改ざん被害では、クレジットカードとそのセキュリティコードを含む個人情報約1万件が漏えいし、クレジットカード不正利用被害も合計2,500万円発生。この事件での損害費用の合計は9,490万円、約1億円であった。この損害費用は、中小企業にとっては死活問題といえる。
[画像クリックで拡大]
そこで渡辺氏は、売上に対する損害額と対策コストのシミュレーションを示した。たとえば、年間売上高10億円の企業が1万人の情報漏えい事故を起こしてしまった場合、ECサイトの事例から損害額は9,490万円、この損害額は売上高の9.5%にあたる。一方、JUASによる資料から年間の対策費用(売上高に対するIT投資2.24%、その15%をセキュリティ対策費用とした場合)は336万円。売上高に対する割合は0.34%だ。つまり、情報漏えい事故が発生した際の損害額で、約28年分の情報漏えい対策費用がまかなえることになる。
[画像クリックで拡大]
この記事は参考になりましたか?
- Security Online Day 2021レポート連載記事一覧
- この記事の著者
-
吉澤 亨史(ヨシザワ コウジ)
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
