情報漏えいで企業が受ける大損失!対応費用はいくら?保険は効くの?
個人情報が漏えいしてしまうと、その対象となったユーザーはさまざまな影響を受けることになります。しかし同時に、漏えいさせてしまった企業も多大な影響を受けます。損害賠償金をはじめとする金銭的な影響も大きいですし、漏えい事件によってブランドが失墜し、信用を失うことで倒産に追い込まれることもあります。今回は、情報漏えい事件を起こしたことにより企業が受ける影響を、金銭面を中心にご紹介します。
【目次】
・情報漏えい事件発生!企業がしなければならないことは
・対応費用はいくらかかる?
・セキュリティインシデント対策費用を補償する保険とは
情報漏えい事件発生!企業がしなければならないことは
最近の情報漏えい事件は、第三者からの指摘によって判明することが多くなっています。自社で情報漏えいを検知した場合はもちろん、攻撃が疑われた時点から、企業は対応を開始すべきといえます。こうしたITセキュリティの侵害を「セキュリティインシデント」と呼びますが、セキュリティインシデントの検知から復旧までには「検知」「初動対応」「調査・分析」「被害者への通知・情報開示」「復旧・再発防止」の手順を踏みます。
検知や指摘があった際には、すぐに責任者や上長に報告を行い、経営者まで情報を共有できるようにします。そして初動対応として、被害の拡大を防ぐためにネットワークの遮断やシステムの停止を行い、ログやデータの保全を行います。これはいわゆる「現場保存」のための処置です。調査・分析では、影響範囲の特定や原因の究明を行います。
この初動対応と調査・分析には専門知識が求められますが、最近ではこうした対応を行う社内の専門チーム「CSIRT(Computer Security Incident Response Team:シーサートと呼ばれる)」を設置するケースも増えています。CSIRTにはさまざまなタイプがあり、自社内で専任のチームを常駐させるタイプ、インシデント発生時のみチームを編成するタイプ、担当者のみを決めてチームはアウトソースで外部に依頼するタイプなどがあります。
被害者への通知・情報開示は、インシデントの重要度が高いほど早期の対応が必要です。被害者への通知はもちろん、ホームページでの告知や、必要があれば記者会見を行います。情報漏えい事件における公表義務は法律などで規定されてはいませんが、説明責任を果たすという意味や、被害者を安心させる意味でも必要なことといえます。
そして、原因を特定し問題を排除、再発防止策などの対処が完了したら、復旧段階へと進みます。この間も、状況の進展に合わせて情報を開示すると良いでしょう。復旧の際にはアナウンスを行い、具体的な原因や再発防止策を公表するなど、真摯な対応を心がけましょう。
【インシデント対応の手順】
対応費用はいくらかかる?
それでは、情報漏えい事件を起こしてしまった場合、その収束までにどのくらいの費用損失が発生するのでしょう。情報漏えい事件の場合、「損害賠償」「費用損害」「逸失利益」が発生します。損害賠償は、情報漏えいによって損害を与えてしまった人から請求される損害賠償金や、損害賠償に関する争訴費用、弁護士費用などが該当します。
費用損害は、漏えい後の対応に発生する費用や通信費用、社外問い合わせ対応費用、人件費、事故原因調査費用などの事後対応費用、謝罪広告などの広告宣伝活動費用、コンサルティング費用、見舞金・見舞品費用などが含まれます。逸失利益は、サイバー攻撃による事業中断などで、本来得られるべきであった利益のことです。
実際に保険会社が算出したモデルケースを紹介しましょう。個人向けのインターネット通販を提供している会社で、情報漏えい事件が発生した場合を想定しています。原因は、社員のPCが標的型メール攻撃によりマルウェアに感染したこと。その結果、攻撃者により外部から10万件の個人情報が流出。さらに二次被害も発生し、被害者300名から損害賠償の訴訟を受け、ひとり当たり20万円の損害賠償の支払いを命じられます。この事件により通販サイトも停止し、年間売上げの約20%の逸失利益が発生した場合、どうなるのでしょうか。
それぞれの費用を見ていきましょう。まず訴訟への対応として、賠償責任の費用は300名×20万円で6,000万円になります。費用損害は、被害者全員へのお詫び(お詫び状の郵送・メール・ホームページでのお詫び対応、全国紙の新聞5紙へのお詫び広告掲載)に3,220万円、法律相談費用に20万円、問い合わせ対応体制の整備に860万円、被害者へのお詫びの品・金券の送付に6,120万円、原因究明・再発防止策検討のための調査・準備に1,000万円、クレジットカード再発行費用に1億800万円、合計2億2,010万円となります。
賠償責任と費用損害の合計は、2億8,010万円にもなります。これに逸失利益として年間利益の約20%が加わります。たとえば年間で1億円の利益があれば、2,000万円の逸失利益となります。さらに費用以外の影響として、ブランドの失墜や銀行からの信用の低下、風評被害などが起きる可能性もあり、これらの影響も少なくありません。
| 損害 | 概要 | |
|---|---|---|
| 賠償責任 | 損害賠償金 | 漏えいにより損害を与えてしまった人から請求される損害賠償金 |
| 争訴費用 | 損害賠償に関する争訴費用、弁護士費用など | |
| 費用損害 | 法律相談費用 | 漏えい後の対応のために弁護士に対して支払う相談費用 |
| 事故対応費用 | 漏えい後の対応として発生する費用 | |
| 通信費用:電話、FAX、郵便(文書作成、封筒代、送付費用など) | ||
| 社外問い合わせ費用:問い合わせに必要なコールセンター会社への委託費用 | ||
| 人件費:応援人員や残業代など | ||
| 出張や宿泊費:事故対応により生じる旅費など | ||
| 事故原因調査費用:事故調査に要する費用(フォレンジック費用など) | ||
| 広告宣伝活動費用 | 謝罪広告(社告など)や再発防止策などの広報に要する費用 | |
| コンサルティング費用 | 被害拡大防止策や原因調査、メディア対応、再発防止策の立案実施において、外部の専門家を起用した場合の費用 | |
| 見舞金・見舞品費用 | 漏えい被害者に対して謝罪のために支払う見舞金や、送付する見舞品の費用 | |
| 逸失利益 | サイバー攻撃による事業中断などにより得られなくなった、本来得られるべき利益 | |
セキュリティインシデント対策費用を補償する保険とは
ひとたび情報漏えい事件が発生してしまうと、企業も大きなダメージを受けてしまいます。特に費用については前述のケースで約3億円と、莫大な金額となり、中小企業では非常に負担が大きくなってしまいます。そこで最近では、サイバーインシデントに対応した保険が登場してきました。従来の保険では損害賠償金のみの補償でしたが、費用損害や逸失利益も補償する内容となっています。
費用損害では、原因究明における費用が高額になりがちです。これはフォレンジックと呼ばれるもので、保全を行ったログやデータからサイバー犯罪の証拠を明らかにする作業を指します。フォレンジックは非常に重要で、企業のシステムに不正アクセスがあった際に、個人情報が漏えいしたかどうかをフォレンジックにより判断することができます。これにより情報漏えいに関する損害賠償を回避できた例もあります。なお、この例でかかったフォレンジック費用は約500万円だったといいます。
情報漏えいは、企業規模に関係なく発生する可能性があります。また、改正個人情報保護法では、「5,000名以上の個人情報を持つ企業」という条件が撤廃されます。しかも、中小企業でも従業員のマイナンバーを管理しなければならなくなったので、ほぼすべての企業が改正個人情報保護法の対象になるといえます。
「もし、自社で個人情報漏えい事故が発生してしまったら」と想定し、マルウェア対策や不正アクセス対策、感染した際の連絡網の整備、CSIRTあるいはそれに準ずる内外のチーム体制、情報セキュリティ侵害の際の相談先など、必要な対策や仕組みなどを見直してみてはいかがでしょうか。事件が起きないことが一番ですが、自然災害と同じように日頃から危機意識を持ち準備を怠らないことで、万一の事態にも的確な対応ができるのです。
吉澤亨史(よしざわ こうじ)フリーランスライター自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。