情報漏洩対策ソフトをご検討のみなさまへ

08/01/21

「情報漏洩対策したほうがお得?」

個人情報保護法(2005年4月1日全面施行)が施行されてから数年経過しました。大企業では、程度の差はあれど、何らかの対策を行っているところが大半でしょう。しかし、その対策費が適切なレベルにあるかどうか、経済性を考慮して導入しているところはどれだけあるでしょうか。
今回は、個人情報漏洩対策は、経済的に損なのか得なのかを考えてみましょう。

個人情報漏洩事故を起こしたときの影響

まずは、情報漏洩事故が発生した場合の損失について、確認してみましょう。大規模な個人情報流出事故が起きた場合、以下の損失が生じます。

  • 個人賠償
  • 裁判費用
  • ブランド/会社の信用のダウン
  • 顧客離れ
  • 取引先からの取引停止
  • 再発防止のための対策費
  • 経営の誤りに対する株主訴訟

個人情報を流出させた場合の、個人賠償は、過去の例では、自主的に全員に500円~1000円を送付、もしくは、裁判で7000円から15000円を支払いとなっています。これは流出にとどまった場合で、もしも、二次被害が発生した場合は、その責任も問われることになります。YahooBBの事例を見ても、多数の個人顧客情報を持つ企業では、大きなリスクとなります。

ブランドや会社の信用への影響は、広告の逆効果と考えられるので、企業のイメージ広告費から推計すると良いでしょう。日本全体での広告費が約6兆円なので、この半分が東証の上場企業2400の関連と類推して、更にその半分が企業イメージに絡む広告と仮定すると、一社平均6億となります。大規模な個人情報流出事故を起こすと、これに匹敵するマイナスの影響が、何年にもわたって続きます。

その他の項目については見積もりが困難ですが、参考までに、米国の PGP Corporation 等による調査では、漏洩した消費者データ1件あたりの企業の損害額は、2007年には197ドルに達し、その内128ドルは、取引の減少や新たな顧客獲得のための費用に起因するとされています。ここから、個人賠償額は、損失のごく一部であることがわかります。

対策が不足することによる取引機会遺失

次に、対策していないこと、そのものによる損失を考えてみましょう。まだ、取引先から、個人情報保護体制について、書類の提出を求められたことはありませんか?外部委託先など、取引先での情報漏洩事故が多発していることもあり、今後は、取引先に対しても、自社基準と同レベルの対策が要求されることが増えるでしょう。書類提出を求められてから、体制を整えようとしても、遅すぎます。付け焼刃で対策を取り繕うと、問題が発生した場合の責任が重くなるだけです。

また、今後は、内部統制報告書の提出で、管理体制を明示することになります。他社もあまり入れていないようだからと油断しているかもしれませんが、現状では、情報保護の体制については、弱点を攻撃されることを防ぐため、導入そのものをあまり公表していない企業が多いことをご存知でしょうか?取り残されないようにご注意ください。
※内部統制報告書:金融商品取引法24条の4のに基づき、企業が事業年度ごとに内閣総理大臣に提出する報告書。2008年4月1日以後開始する事業年度から適用される。

対策することによる利益

次は、対策することによる利益を見ましょう。情報漏洩を恐れ、情報の利用を必要以上に制限していませんか?情報は財産です。有効活用することで利益を生みます。 「情報漏洩って、保険でしかない守りの対策?」もご覧ください。眠っている情報を有効活用しましょう。

情報漏洩対策のコスト

最後に、対策に必要な費用を見てみましょう。情報漏洩対策のコストには以下の項目があります。

  • 情報漏洩対策製品の購入/導入費用
  • 既存システムの変更費用
  • 既存の運用手順の変更による効率への影響
  • 従業員の教育
  • 管理者による運用コスト

情報漏洩対策には、多様な方法があり、製品やサービス単体の費用だけで比較すると判断を誤ります。業務への影響まで確認したうえで、全体のコストで比較するのが適切です。また、効果が限定される対策の場合、対費用効果としては、その分割り引いて考えたほうが良いでしょう。

既存システムの変更が必要になる場合、製品の購入費用を大幅に上回ることが多いので、この二つについては、考慮が抜けることは少ないでしょう。しかし、他の項目については、あまりコストとして考慮されないことが多いので、簡単にでも見積もっておくことをお勧めします。

特に、既存の運用効率への影響については、十分に考慮しましょう。業務の把握が不十分なまま、ファイルの持ち出しなど、現在の運用の一部を禁止すると、思わぬところで業務効率が悪化し、結局、効率のために、システムを迂回して利用することが横行します。

全体としては?

いかがでしょうか?具体的な数値は、会社によって異なりますが、試算してみると、予想以上に、事前対策によるコストよりも、対策をしないことによる損のほうが多いことがわかると思います。日本ネットワークセキュリティ協会( JNSA )の2006年情報セキュリティインシデントに関する調査報告書によると、2006年の想定損害賠償額総計は4570億円に達しています。これを情報漏洩対策が不十分な会社だけで毎回損失しているのです。これよりも少ない事前対策費で済ませるほうが得だと思いませんか?

既に、ウィルス対策では、大部分の企業でアンチウィルスソフトを導入しています。これを、費用が安いからといって、たまにオンラインソフトでチェックするように指示している会社は少ないでしょう。それ以外の、情報漏洩対策についても、ログ監視だけで済ませたりせず、ちゃんと守れるシステムを導入することをお勧めします。

■まとめ

  • 情報漏洩事故の損失は膨大。
  • 対策していないと、機会損失のデメリットも。
  • 情報漏洩対策には情報を有効利用できるメリットがある。
  • 情報漏洩対策費は製品の価格だけではない。運用効率まで考えよう。
  • 全体を考えれば、事前対策のほうが得。