情報漏えい被害が発生すると、損害額はどのくらいになるのか
では、実際に情報漏えいが発生してしまった場合、どのくらいの損害費用がかかるのか。渡辺氏は、日本ネットワークセキュリティ協会(JNSA)の資料から、2018年にニュースとして報道された情報漏えい事故の平均値を示した。これによると、漏えいした個人情報の数は561万3,797人、事故の件数は443件、想定される損害賠償額は2,684億5,743万円。事故1件あたりの平均想定損害賠償額は6億3,767万円、1人あたりに換算すると2万9,768円となっている。
[画像クリックで拡大]
たとえば、日本年金機構の情報漏えい事故のケースでは、事故後にかかった費用として「専用電話窓口の開設・運営」に2億3,600万円、「謝罪文」に1億3,200万円、「詐欺被害防止用チラシの配布」に3,100万円であったことが明らかになっている。
また、あるECサイトでのサイト改ざん被害では、クレジットカードとそのセキュリティコードを含む個人情報約1万件が漏えいし、クレジットカード不正利用被害も合計2,500万円発生。この事件での損害費用の合計は9,490万円、約1億円であった。この損害費用は、中小企業にとっては死活問題といえる。
[画像クリックで拡大]
そこで渡辺氏は、売上に対する損害額と対策コストのシミュレーションを示した。たとえば、年間売上高10億円の企業が1万人の情報漏えい事故を起こしてしまった場合、ECサイトの事例から損害額は9,490万円、この損害額は売上高の9.5%にあたる。一方、JUASによる資料から年間の対策費用(売上高に対するIT投資2.24%、その15%をセキュリティ対策費用とした場合)は336万円。売上高に対する割合は0.34%だ。つまり、情報漏えい事故が発生した際の損害額で、約28年分の情報漏えい対策費用がまかなえることになる。
[画像クリックで拡大]
