じっくり考える「情報漏えい発生の理由」（中編）

情報漏えいが事業経営に与えるインパクト

前場　宏之
トレンドマイクロ株式会社
営業統括本部 コンサルティングSE部
テクニカルSE課 課長 兼 ソリューションSE課 課長
2009/9/1

　あるショッピングサイトを襲った情報漏えい事件の「費用」

　ではここで、上記で例として挙げたショッピングサイト運営会社において、実際に情報漏えい被害が起きたことを想定して、情報漏えいが与える財務インパクトを試算してみたい。

■被害ケース例■ 企業情報：　ショッピングサイト運営会社（上場） 売上規模：　年商2億円 顧客数：　10万人 インシデント発生までの、年間新規顧客増加率：　50％ ●情報漏えいの背景： 　ECサイトで顧客の氏名、連絡先、購入履歴の一部が記載されたデータが、インターネット経由で閲覧可能な状態にあり、それがネット上の掲示板での指摘により明るみに出た。事故発生の原因追求のため、サイトを2週間停止。事態収拾に当たって、顧客への謝罪はもちろんのこと、マスコミ対応、サイトの脆弱性への対策実施など、事故後も長期間にわたり対応に追われた。 　その後も、サイト一時停止の影響とイメージの低下により既存の利用者は減少。新規顧客の獲得もこれまで年間50％増加していたが、インシデント発生後は15％に減少。利用者減により、インシデント発生翌月から数カ月にわたり、約4割程度の売り上げ減少が続いた。

　このインシデントに対応するにあたって、以下のようなコストが考えられる。

（1）サイト利用ユーザーへの謝罪費用、マスコミ対応費用（一次対応費用）：

　このような事故が起きた場合、通常の問い合わせ窓口とは別に問い合わせ窓口を特別に設置することが多い。通常設けているコールセンターに特別番号を設け、対応オペレータ要員を追加する費用としてここでは約400万円を見積もっておこう。

　また、このような事件はマスコミにも大きく取り上げられる。適切なコミュニケーションを行い、事態を速やかに収拾に向かわせるために、マスコミ対応費用も考えておいた方がよいだろう。マスコミ対応事務局は自社の広報部が担当するとしても、お詫び会見を行う場合、会場費用が発生する。お詫び会見では、多くの報道陣が集まることが予測される。社内会議室で会見を行う場合もあるが、広報が把握できないところでマスコミが社員にインタビューする、といった事態を防ぐためにも、ホテルなどを利用することもある。ここでは、東京近郊のホテルの会議室を半日借りる費用として、約100万円発生するとしよう。

　さらに、情報漏えい事故の一番の被害者ともいえる、個人情報が流出してしまった顧客への補填が必要だ。個人情報が漏えいした際の補償として、各情報保有者に500円相当の金券を配布する、ということがあるが、今回は顧客への謝罪費用はECサイト内での仮想マネーに該当するポイントを付与することで代替するとしよう。全ユーザーに一律500円相当のポイントを付与すれば、最大で約10万ユーザー分＝5000万円の損失が発生する。

（2）サイト停止時間に伴う機会損失：

　年間2億円の売り上げがあるサイトにおける、日割り売り上げ金額は約55万円。そのサイトを2週間停止すると、約800万円の販売機会が損失する計算となる。

（3）イメージ低下による顧客減：

　情報漏えい事故発生後半年間、売り上げが事故発生前の4割減の状態が続いた場合、半年間の損失合計額は　2億円÷12カ月×6カ月×40％＝4000万円となる。

（4）情報漏えい対策へのコスト：

　Eコマース向けのセキュリティ環境を適正化し、事故の再発を防ぐために、全面的なセキュリティ監査と、必要なシステムの実装を行う必要がある。ここでは、セキュリティ専門のコンサルタントに全面監査を依頼したとして、セキュリティ監査に2000万円、見つかった脆弱性に対応するためのシステム改修に約500万円を見積もっておく。

　また、情報漏えい防止の対策がなされたあと、対策内容を周知して信頼回復するためのリソースもかかる。個人情報漏えい事故発生時にとられる手法として、新聞への社告の掲載が挙げられる。信頼回復のために謝罪を兼ねて対策告知の社告を出す場合、全国紙2紙と地方紙1紙に広告を出したとすると、1000万円以上の費用が発生するだろう。

　以上、ざっと見積もっただけでも以下のような費用が発生することが分かる。

	費用
顧客対応コールセンター特設費用：	400万円
謝罪会見会場費用：	100万円
顧客への補償：	5000万円 （ポイント付与によるみなし損失）
サイト停止期間の売上機会損失：	800万円
イメージ低下による売上減少金額：	4000万円
セキュリティ監査実施費用：	2000万円
システム改修費用：	500万円
社告掲載費：	1000万円
計：	1億3800万円

　これだけで、見なし損失を含めて合計1億円を超える財務インパクトが発生するのだ。年商2億の企業にとって、この情報漏えい事故は大きな痛手になることはいうまでもない。

　もちろん、上記はあくまでも試算であり、実際の事故発生時の詳細な状況に応じて、コンサルへの依頼内容や社告の実施有無などは変わってくる。また、漏えいしてしまった情報の回収にかかる費用や、他社からの賠償請求、対策のために弁護士を委託する場合の相談費など、実際に事故が発生した場合は上記試算以外のもろもろの費用も発生するだろう。

　さらに、このような大きな事件が発生すると、株価の低下は避けられない。株価変動による時価総額の変動試算は非常に難しいが、インパクトがあることは覚悟しておかないといけない。重要なのは“どれだけ実際の被害額に近い試算ができるか”ではなく、“漏えい対策を行うにあたって、想定されるリスクを把握しておく”ということなのだ。

　今回の例においては、試算項目（4）の情報漏えい対策を事前に行っていれば、インシデントの発生を防止できていた可能性は極めて高かったと予測される。また、仮にインシデントの発生自体を防ぐことができなかったとしても、影響を受ける顧客や漏えいする情報の重要性が限定されることによって、（1）の謝罪費用が抑えられ、（2）のサービス再開までの期間も短縮できたと予測される。さらに、イメージ低下による（3）の影響も緩和されていたと予測されるため、被害総額を大幅に抑えることができたことは疑うまでもない。実際、情報漏えいリスクマネジメントが徹底されている企業においては、財務インパクトを十分考慮したうえで必要な対策を行っている場合が多い。

---

　以上、情報の価値を正しく見極め、情報漏えい時のコストインパクトを適切に予測したうえで、対策にかかわる費用と比較検討することが重要であることをご理解いただけたことと思う。

　では、こういった被害を防ぐためには、具体的にどのような対策を取るべきなのだろうか。次回、本連載の最終項として、効果的な情報漏えい対策ソリューションについて紹介したい。

3/3

後編：情報漏えい対策ソリューション、DLPとは→

Index
前編：雇用形態の変化と情報漏えいの実態
	Page1 情報漏えい事件の原因はどこから来るのか 「情報管理」のスピードを追い抜く雇用形態の変化
	Page2 アメリカと日本：雇用形態の違いに見る情報漏えいのかたち
	Page3 今後の雇用形態変化と情報管理

Index
中編：情報漏えいが事業経営に与えるインパクト
	Page1 情報漏えい対策の実際 情報の価値は誰が決めるのか
	Page2 情報漏えい時に被る財務的なインパクトの予測
	Page3 あるショッピングサイトを襲った情報漏えい事件の「費用」

Index
後編：情報漏えい対策ソリューション、DLPとは
	Page1 「機密情報そのもの」を守るというアプローチ 重要情報の決め手は「情報の指紋」
	Page2 情報漏えい防止のための「もう1つの手段」として

Profile

前場　宏之（まえば　ひろゆき） トレンドマイクロ株式会社 営業統括本部 コンサルティングSE部 テクニカルSE課 課長 兼 ソリューションSE課 課長 大手通信事業者にてISP事業の立上げに参画し、NWの設計、およびNW機器の選定や評価を担当。 トレンドマイクロに転職後、ゲートウェイ対策製品のスペシャリストとして顧客企業への提案活動に従事し、現在はフィールドSEをバックヤードで支援する製品スペシャリストチームと、同社のDLPソリューション製品「LeakProof」を中心とした戦略製品を拡販するためのSEチームのマネジメントを担う。CISSP。

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）