1人の従業員が起こした、260億円の損失
講演では、典型的なサイバー攻撃の事例として複数のケースが紹介された。まず紹介された事例が、ベネッセコーポレーション(以下、ベネッセ)の情報漏えいインシデントだ。同社では、顧客情報管理の多くを子会社に委託していたが、この子会社の従業員が私的にデータベースにアクセス。自身のデバイスにコピーし、いわゆる「名簿屋」と呼ばれる業者に売却してしまった。漏えいしたデータには氏名や性別、生年月日などが含まれ、流出総数は約3500万件に達した。
内部者の情報の持ち出しが起因して発生するサイバーアタック事例の典型的な構図
クリックすると拡大します
ベネッセでは、当該の情報漏えいを受けて被害者に対する補償を実施。500円分のQUOカードまたは図書カードを送付し、その費用を含む260億円の特別損失を計上した。再発防止策としては、サイバーセキュリティを担う合弁会社ベネッセインフォシェルが設立された(2023年7月にベネッセコーポレーションに吸収合併)。
なお、データ漏えいに関与した従業員は不正競争防止法違反として起訴されているが、それだけにとどまらず当時の代表取締役は辞任した。さらに、500円分の補償では不十分だとして、被害者側から損害賠償の集団訴訟が起こっている。
「ベネッセの事案では、最終的に集団訴訟に対して多額の損害金は認定されませんでした。もしこれが、1人につき1万円分の補償が必要となれば、3500万件の流出があったことを考えると非常に莫大な損失となっていたでしょう」(大井氏)
ベネッセ以外にも、大井氏はKADOKAWAやイズミといったランサムウェアによるデータ漏えいの事例も挙げた。KADOKAWAでは、複数のサーバーが暗号化され「ニコニコ動画」などのサービスが数ヵ月にわたって停止。その間のクリエイターに対する補償やシステム復旧費用が発生し、23億円の特別損失につながった。イズミも同様に、基幹・会計システムなどを含む全社サーバーが停止。発注や販売業務に影響が生じ、既存店売り上げの大幅な減少や、利益のマイナスが発生した。
KADOKAWA、イズミで起こったサイバー攻撃被害の事例
クリックすると拡大します
「KADOKAWAやイズミの事例を見るまでもなく、データ漏えいは単に被害者に対する補償だけでなく、想定していた売り上げ・利益の逸失にもつながってしまうのです」(大井氏)
このように、データ漏えいは非常に広範囲に、甚大な影響を与えてしまう。さらに、ベネッセのように社長辞任や、時として役員個人に対する損害賠償請求も発生しうると同氏は警鐘を鳴らす。
