情報漏洩事故により企業が受ける損失

株式会社エアー 池田 さくら

セキュリティ事故は起こさないことが一番ですが、もし万一起きてしまった場合、企業はどんな不利益を被るのでしょうか?IPA(独立行政法人情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」(https://www.ipa.go.jp/files/000055520.pdf)は中小企業向けとなっていますが、企業リスク・セキュリティを考える上でのヒントが詰め込まれているため、こちらを参照しつつメールセキュリティ製品を扱うベンダー視点で今一度まとめてみたいと思います。

そもそも、企業における秘密(機密)情報とは何をさすのでしょう。上記ガイドライン付録の情報セキュリティ5か条では、以下を挙げています。

  1. 従業員のマイナンバー、住所、給与明細
  2. お客様や取引先の連絡先一覧
  3. 取引先ごとの仕切り額や取引実績
  4. 新製品の設計図などの開発情報
  5. 取引先から”取扱注意”として預かった情報

これらの情報はどの企業でも有している情報であり、それはつまり企業規模に関係なく企業活動を行う以上は常に情報漏洩のリスクと隣り合わせであるということです。

ではこういった情報の漏洩事故が発生した場合、企業にはどういった不利益・問題が生じるでしょうか?代表的なものとしては①損害賠償②事後対応③機会損失④法的制裁の4つがあると言われています。それぞれについて簡単に触れてみます。

①損害賠償責任を負う

情報漏洩によって損害を与えてしまった人への「損害賠償費用」が発生する可能性があります。2018年度のNPO日本ネットワークセキュリティ協会(JNSA)の報告によりますと、1事故あたりの平均損害賠償額の想定は6億3767万円だったそうで、この金額は年々上昇しているとも言われております。

②事後対応の費用がかかる

情報漏洩事故の後には、謝罪広告などの掲載費用や事故原因の調査費用などが発生します。そしてこれらの費用については、すぐに対応しなければならないために依頼元の言い値となる可能性が高いです(つまり、それだけ企業にとっての損害額が大きくなります)。
その他、個人情報が漏洩した場合には、各被害者に対して謝罪のために支払うお詫び品のための費用がかかるケースもございます。

③業務停止や顧客の喪失(=信用の失墜)による機会損失

国より業務改善命令を受ける場合や、企業側の判断で業務を停止する可能性(被害の拡大防止やシステムを止めての原因調査や再発防止のためのシステム対策の導入など)も考えられます。停止期間が長期化すればそれだけ企業活動へ影響を与えることは周知の事実です。
また、企業への信用失墜のために顧客が減少したり、新規顧客の獲得が厳しくなることも想定されます。

④法的制裁を受ける可能性

事故を起こした企業の経営者や役員・担当者は、業務上過失として刑事罰やその他の責任を問われるケースもあります。

依然として、メール誤送信・標的型攻撃メールによる情報漏洩や、退職予定者によるメール添付での情報持ち出しなどは完全には無くなっておりません。
弊社では、情報漏洩につながりそうな、怪しいメールのやりとりがないかもチェックできる、WISE Auditといった製品も取り扱っております。今のままの対策で問題ないのか?もっと他に何か良い案はないのか?少しでも気になることがございましたら、お気軽にお問合せください。


参考サイト:
・情報セキュリティ5か条(IPA)https://www.ipa.go.jp/files/000055516.pdf
・2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)https://www.jnsa.org/result/incident/2018.html
・機密情報や個人情報が漏えいした場合に企業が被る 4つの不利益とは(リーガルテック社)https://legalsearch.jp/portal/column/4-disadvantages/

タイトルとURLをコピーしました