情報漏洩が起きてしまうと、個人情報やその他の大切な情報をさらされた被害者に大きな損害が発生することがあります。そうなるとインシデントを起こしてしまった企業は損害賠償をしなければいけなくなる場合がありますが、具体的にこれまで情報漏洩による被害がどのくらい起きているのか気になりますよね。
この記事では情報漏洩の怖さを意識するために、過去の事例から被害額を公開していきたいと思います。
1.情報漏洩による被害額はどれくらい?
「NPO法人 日本ネットワークセキュリティ協会(JNSA)」が2018年1月1日から2018年12月31日にかけてニュースサイトなどで報道された個人情報漏洩問題などの記事から情報を収集したところによると、以下のようなデータが算出されました。
| 漏えい人数 | 561万3,797人 |
|---|---|
| インシデント件数 | 443件 |
| 想定損害賠償総額 | 2,684億5,743万円 |
| 一件あたりの漏えい人数 | 1万3,334人 |
| 一件あたり平均想定損害賠償額 | 6億3,767万円 |
| 一人あたり平均想定損害賠償額 | 2万9,768円 |
(日本ネットワークセキュリティ協会のデータ参照)
1年だけどこれだけの数の被害が出ているのを知って驚く企業も少なくないでしょう。情報漏洩が443件も起きているということは、1日当たり1.21件発生しているということです。情報漏洩問題が頻繁に世間で取り上げられていてもインシデントは絶えません。1件当たりの推定損害賠償額も億単位になっています。
同協会が調査した2017年1月~2017年12月に発生したインシデントは386件で、合計賠償金額は1,914億2,742万円、1件あたりの平均想定被害額は5億4,850万円でした。つまり、2017年と2018年を比べると昨年の方が被害がはるかに大きい、という事になります。
対応費用の内訳と費用
情報漏洩事件が起きてしまうと様々な実害が発生します。例えば以下のような損失があります。
・損害賠償
情報漏洩による被害を受けた人から請求されるお金や争訴費用、弁護士費用など
・費用損害
対応費用や通信費用、事故原因調査費用、謝罪のための広告宣伝費用、コンサルティング料金、見舞金など
・逸失利益
業務停止によって発生した本来得られたはずの利益
ネットワークセキュリティツール開発メーカーである「MOTEX」によると、ある保険会社が算出したモデルケースでは以下のような内訳で被害額が想定されます。
- 状況:個人向けインターネット通販会社での情報漏えい事件
- 原因:社員のPCが標的型メール攻撃によりマルウェアに感染
- 漏洩状況:10万件の個人情報が流出。二次被害も発生したので被害者300名から損害賠償の訴訟を受ける
- 判決:1人当たり20万円の支払い
- その他の実害:通販サイトは停止。年間売上げの約20%の逸失利益が発生
- 損害賠償額:6,000万円(300名×20万円)
- 損害費用:
- 逸失利益:2,000万円(年間で1億円の利益と仮定した場合)
- その他被害:ブランドイメージや銀行からの信用の低下、風評被害など
■被害者全員へのお詫びに3,220万円
■法律相談費用に20万円
■問い合わせ対応体制の整備に860万円
■被害者へのお詫びの品・金券の送付に6,120万円
■原因究明・再発防止策検討のための調査・準備に1,000万円
■クレジットカード再発行費用に1億800万円
これだけの被害が出れば会社が傾いたり最悪倒産する可能性もありえます。情報漏洩のインシデントはうっかりミスが原因で起きることが珍しくありませんが、うっかりが一つの会社を消すこともありえます。
2.まとめ
情報漏えいが起きると企業は莫大な損害関連費用を支払わなければいけない場合があります。そうなると会社にとって大きな損失となるだけでなく運営すら危うくなるケースもあります。そのため会社は適宜サイバーリスク関連の保険への加入も検討すると良いでしょう。
しかし最も重要なのは情報漏洩が起きないように事前の対策をしっかり講じることです。セキュリティシステムを強固にして不正アクセスに耐えられるようにし、社員の業務上過失を未然に防ぐために情報セキュリティの研修を行うなどできるでしょう。予防に勝る薬はないという点を意識することが情報漏洩回避の第一歩です。
