本ページはアフィリエイト広告プログラムによる収益が発生しています。
情報漏洩を起こすと、損害賠償や報道に伴う社会的なイメージの低下に加えて、原因調査や再発防止にかかる費用などさまざまな損害が発生します。具体的には、情報漏洩によって以下の3つの被害が発生します。
情報漏洩で発生する3つの損害
| 1. 損害賠償による損害 | 情報漏洩の対象となった個人や企業からの 損害賠償請求に対応することで発生する金銭的損害 |
| 2. 賠償以外にかかる費用による損害 | 情報漏洩の原因特定・報告や公表・再発防止など、 損害賠償請求意外に必要な措置を行うために発生する金銭的損害 |
| 3. 社会的信用を失くすことに伴う損害 | 企業の信用が失われることで株価が下落したり 取引先や顧客を失ったりする結果、発生する損害 |
上記のような情報漏洩によって発生する損害の種類や相場を具体的にイメージすることで、適切な情報漏洩対策を行うことが可能です。
例えば損害賠償額については、日本ネットワークセキュリティ協会の試算によると、1人あたりの想定額は28,308円となっています。
なお、1年間の場合の損害額は次のとおりです。
上記のように情報漏洩による損害は多大です。自社に起こりうる損害について具体的に把握していない状態では、どのような情報漏洩対策をどこまでコストをかけて行うべきか具体的に検討し、適切な判断を下すことが難しくなるでしょう。
そこで今回は、情報漏洩に伴う損失を具体的にイメージし、適切な対策につなげるために押さえるべき以下のポイントを解説します。
・情報漏洩を起こすと発生する損害の種類
・情報漏洩を起こすと発生する損害の相場
・情報漏洩による損害を抑えるためのポイント
情報漏洩対策を適切に行うためにも、情報漏洩により発生する損害の具体的な内容について確認しておきましょう。
【PR】ホワイトペーパー|株式会社 網屋
・内部不正による情報漏えいが”なぜ”起こるのかを実例を用いて解説。
・AIを用いた内部不正による情報漏えいの対策を解説。
・他社の情報漏えいの事例を交えながら対策ポイントを3つ解説。
前述の通り、情報漏えいの原因は「ハッカーによる侵入」などの外部攻撃だけではありません。
「退職予定者が社内の技術情報を盗み、ライバル企業に転職した」をはじめとした内部の不正による情報漏えいが後を立ちません。そんな情報漏えいが”なぜ起きるのか?””どうすれば内部不正による情報漏えいを防ぐことができるのか?”を解説したのが本ホワイトペーパーになります。
「内部不正による情報漏えいの実態が知りたい」「内部不正による情報漏えいへの対策が知りたい」と思われた方はぜひご確認ください。
1. 情報漏洩で発生する3つの損害とは
冒頭でもお伝えしたとおり、情報漏洩で発生する損害と一言で言っても、損害賠償に伴う損害・調査費用や初動対応などにかかる費用損害・イメージや株価低下に伴う損害などさまざまです。
損害は、以下のとおり大きく分けて3つに分類することができます。
情報漏洩で発生する3つの損害
| 1. 損害賠償による損害 | ・情報漏洩の対象となった個人や企業からの損害賠償請求に対応することで発生する損害 ・詳細や相場は「2. 情報漏洩による賠償に伴う損害」で解説 |
| 2. 賠償以外にかかる費用による損害 | ・情報漏洩の原因特定・報告や公表・再発防止に必要な措置などを行うための費用がかかることで発生する損害 ・詳細や相場は「3. 情報漏洩の賠償以外にかかる費用で発生する損害」で解説 |
| 3. 社会的信用を失くすことに伴う損害 | ・企業の信用が失われることで株価が下落したり取引先や顧客を失ったりする結果、発生する損害 ・詳細や相場は「4. 情報漏洩で社会的信用を失くすことに伴う損害」で解説 |
情報漏洩による損害と聞くと、報道で大きく取り上げられる損害賠償にばかり目が行きがちですが、実際には各種対応にかかる費用や事業への影響に伴う利益の喪失など、多岐にわたる損害が発生することを覚えておきましょう。
2. 情報漏洩による賠償に伴う損害
先ほどお伝えしたとおり、情報漏洩で発生する損害には3つの種類があります。
ここでは、その1つである損害賠償に伴う損害について、
・損害賠償が必要となる場合
・損害賠償額に関する過去の事例
・損害賠償額の試算が可能な算定式
を解説します。
情報漏洩発生時の損害賠償額に関する具体的なイメージをつかんでみましょう。
2-1. 賠償が必要な場合とは
情報を漏洩させてしまった結果、被害者に損害が発生すると、損害賠償が必要になります。例えば
クレジットカード情報が漏洩した結果、不正利用され損害が発生した場合、損害の賠償が必要です。
以下のとおり、個人情報や機密情報など漏洩した情報によっては、被害者個人だけでなく他企業からの賠償請求も想定されます。
| 漏洩した情報 | 損害賠償が必要な相手方 |
| 個人情報 | 情報を漏洩された被害者本人・他の企業から委託を受けて管理している個人情報を漏洩した場合、その委託元の企業 |
| 他社の機密情報 | 機密情報を漏洩された他社 |
| クレジットカード情報 | クレジットカード会社 |
上記の中でも、特に他の企業やクレジットカード会社からの損害賠償請求は、事故対応に要したさまざまな費用が積み上がるなどする結果、高額化しやすい傾向です。
2-2. 実際の損害賠償額の例
では、判例をもとに、実際に情報漏洩をした場合はどういう賠償額の判断が下されているのか見てみましょう。
| 判例 | 賠償額など |
| 京都府宇治市事件(最高裁平成14年7月11日判決) | 1人あたりの賠償額は15,000円(慰謝料10,000円、弁護士費用5,000円)(宇治市がシステム開発を依頼した再々委託先のアルバイト従業員が住民基本台帳データを不正に取得し売却) |
| Yahoo!BB事件(大阪高裁平成19年6月21日判決) | 1人あたりの賠償額は5,500円(慰謝料4,500円、弁護士費用1,000円)(Yahoo!BB運営会社の元契約社員が不正アクセスで顧客情報を漏洩) |
| TBC事件(東京地裁平成19年2月8日判決) | 1人あたりの賠償額は35,000円(慰謝料30,000円,弁護士費用5,000円)、二次被害に遭っていない者は22,000円(慰謝料17,000円,弁護士費用5,000円)(インターネット上で行った顧客アンケート結果を漏洩) |
| ベネッセコーポレーション事件(東京地裁平成30年12月27日判決) | 1人あたりの賠償額は3,300円(慰謝料3,000円、弁護士費用相当損害金300円)(再委託先の従業員の不正アクセスで顧客情報が漏洩した) |
このように同じ情報漏洩の事案であっても、判決によって1人あたりの賠償額には差があります。これは、秘匿性の高い情報かどうか、二次被害が発生しているのかどうかなどといった観点から賠償額の判断をしているためです。一般的には、他者に伝えないような秘匿性の高い情報が漏洩していると賠償額は高額化する傾向にあります。
2-3. 損害賠償額に影響を与える要素
損害賠償額はさまざまな要素によって増減します。具体的に損害賠償額に影響を与える要素を把握しておくことで、自社のリスクや情報漏洩時の損害賠償額を抑えるポイントを把握することが可能です。
どのような要素で損害賠償額が増減するのかを知るためには、損害賠償額の算定式を確認するとよいでしょう。
日本ネットワークセキュリティ協会によると、損害賠償の算定式は次のとおりです。
【損害賠償額の算定式】
損害賠償額 = 基礎情報価値 × 機微情報度 × 本人特定容易度 × 情報漏洩元組織の社会的責任度 × 事後対応評価
上記を踏まえて損害賠償額に影響を与える要素とはどのようなものか詳しく見てみましょう。
損害賠償額に影響を与える要素
| 機微情報度 | ・情報漏洩による経済的損失と精神的苦痛の度合い ・氏名や住所など一般的に他者に伝える機会が多い情報は、経済的損失や精神的苦痛は大きくはないと評価され、損害賠償額への影響は小さくなる ・口座番号や暗証番号は経済的損失が大きく、政治的見解などは精神的苦痛が大きいとされ損害賠償額が増える |
| 本人特定容易度 | ・簡単に誰の情報なのかを特定できるかどうか ・氏名と住所のどちらも含まれていると簡単に特定可能なので、 損害賠償額が多くなるように作用する |
| 情報漏洩元組織の社会的責任度 | ・特に情報の取扱いに気をつける必要がある組織が情報漏洩すると損害賠償額が多くなる ・大手企業や公的機関、金融機関、病院、情報通信事業者など |
| 事後対応評価 | ・事後対応が不適切とみなされれば、損害賠償額が多くなる |
計算式で特に注目すべきなのが、事後的な対応状況が賠償額に影響する点でしょう。事後対応は、情報漏洩発生後に適切な対応をすることで、コントロール可能な要素と言えます。賠償額を抑えたいなら、事後対応に注力する必要があるでしょう。
なお、日本ネットワークセキュリティ協会の調査によると、上記の計算式に基づく個人情報漏洩時の1人当たり平均想定損害賠償額は28,308円です。
3. 情報漏洩の賠償以外にかかる費用で発生する損害
情報漏洩時には、損害賠償以外にも、以下の3項目について費用が発生します。
賠償以外にかかる費用で発生する損害
| 1. 初動対応・原因調査 | 情報漏洩の原因特定などにかかる費用 |
| 2. 対外的な対応 | 公表や報告などにかかる費用 |
| 3. 再発防止 | セキュリティソフトを導入 研修を実施 組織再編などにかかる費用 |
それぞれ、具体的にどのような対応が必要となり概ねどのくらいの費用相場なのかを以下で説明しますので、内容を把握しておきましょう。
3-1. 初動対応・原因調査
不正アクセスによる情報漏洩時に、被害拡大を抑えるための初動対応や原因を特定するための調査にかかる費用です。ウイルス感染や外部からのサイバー攻撃による情報漏洩が起こっている可能性がある場合に、特に必要となります。
初動対応・原因調査は専門的な知識が求められることから、一般的に大手のITベンダーやセキュリティーベンダーなどの業者に依頼するケースが多い傾向です。
費用相場は調査すべき機器の台数によって変動しますが、初動対応と原因調査を合わせて、概ね300〜400万円が相場と言えるでしょう。
3-2. 対外的な対応
情報漏洩によって被害が発生している場合や発生する可能性がある場合は、速やかに適切な形での公表・報告が欠かせません。このような対外的な対応を適切に行うためにも費用が必要です。
情報漏洩は公表の仕方を誤ると、市民感情を害したり不信感をあおったりしてしまい、かえって企業イメージを低下させる危険性があります。そのため、適切な公表・報告方法を検討するために、コンサルティング会社や弁護士事務所に相談する必要があるでしょう。
その他にも広告費や、漏洩が大規模な場合はコールセンターの設置、事後対応としてのお見舞金の配布など、さまざまな場面で費用がかかります。
それぞれの費用の大体の相場は、以下のとおりです。
| 費用の種類 | 相場 |
| コンサルティング会社相談費用 | 事案の内容による 数十万円以上は必要 |
| 法律事務所相談費用 | |
| 広告費 | DMはがきを1,000通送る場合、8万円程度 全国紙に広告を出す場合、240万円程度 |
| コールセンターの設置 | オペレーター1人あたり1ヶ月で120万~200万円程度 |
| お見舞金の配布 | 額面500円のプリペイドカードを使用する場合が多い 印刷をする場合、額面500円のプリペイドカードで650円程度が相場 |
3-3. 再発防止
セキュリティソフト導入・研修の実施・組織の再構築などの再発防止策にも費用がかかります。
再発防止策は、情報漏洩を再び起こさず経営を安定させるという意味で企業自体にとって重要であることに加え、取引先や顧客の信頼を回復するうえでも重要です。
導入するセキュリティソフトの例として、メールのフィルタリング機能を追加するものや、ウイルス対策ソフトなどが挙げられます。また、情報漏洩に強い体制の再構築の手法として、SOC(Security Operation Center)の外注も効果的です。
それぞれの費用相場は以下のとおりです。
| 費用の種類 | 相場 |
| セキュリティソフト | 年間に1ライセンス数百円~数千円程度 |
| SOC | 初期費用と年間費用合わせて数十万~数百万程度 |
4. 情報漏洩で社会的信用を失くすことに伴う損害
情報漏洩を起こすと、損害賠償やその他の費用などの支払いに伴う直接的な損害だけでなく、社会的な信用を失うことによる間接的な損害も発生します。以下のような間接的な損害は、長期化しやすいのが怖いところです。
情報漏洩で社会的信用を失くすことに伴う損害の例
- 株価の下落
- 業務の停止・廃止
情報漏洩によるイメージの悪化が、企業にどのような損害をもたらすのか以下で説明します。
4-1. 株価の下落
情報漏洩によって社会的信用を失くすと、株価が下落する可能性があります。多くの株主が「信頼できない」・「今後業績が下がるのではないか」と考え、売り傾向に転じてしまうためです。
例えば、2021年に運営する婚活アプリ「Omiai」で約170万人分の個人情報が漏洩した株式会社ネットマーケティングの株価は、一時、情報漏洩発覚前と比べて4割ほど下落しました。
株価が下落すると、資金調達が困難になったり人材確保が難しくなったりするなど、さまざまな損害が生じてしまいます。事後対応が適切でないと、企業イメージが大きく落ち込み株価の低迷も長期化しやすくなるため、注意が必要です。
4-2. 業務の停止・廃止
情報漏洩が発生すると、原因を特定し適切な再発防止策を講じるまで業務が停止してしまったり、最悪の場合廃止せざるを得なくなる可能性があります。
例えば、セブンペイが運営するバーコード決済サービスの「7Pay」は、2019年に不正アクセスによる情報漏洩で約5,580万円の不正チャージが行われ、最終的にサービス廃止に追い込まれました。2019年7月1日にサービスを開始したにもかかわらず、同年9月30日にはサービス終了する羽目になってしまったのです。
安全性や信頼性の高さが求められる業種では特に、情報漏洩で社会的信用が大きく傷ついてしまうと、事業継続自体が難しくなることを覚えておきましょう。
5. 情報漏洩の損害を抑えるポイント
情報漏洩を起こすと、直接的・間接的にさまざまな損害が発生しますが、損害を最小限に抑えることも可能です。
情報漏洩の損害を抑えるポイント2つ
- 適切な事後対応をする
- 情報漏洩を予防するための対策を徹底する
上記のポイントがなぜ重要なのか、以下で詳しく説明します。
5-1. 適切な事後対応をしよう
情報漏洩が起きてしまった場合、とにかく速やかに適切な事後対応を行うことで、情報漏洩の損害を最小限に抑えることが可能です。
適切な事後対応をしておくことで、損害賠償になった場合であっても賠償金算定時に有利に働き、少しでも賠償額を抑えられる可能性があります。また、個人情報が漏洩した場合に課せられる可能性のある個人情報保護法に基づく罰金を免れる可能性も出てくるでしょう。
適切な対応例と不適切な対応例を以下で紹介しますので、ぜひ参考にしてください。
| 適切な対応の例 | 不適切な対応の例 |
| 迅速に対応する・原因や影響などを的確に把握する・情報を正確に適時に公表し、謝罪や補償を行う・被害が拡大しないようにするための措置を真摯に行う・外部の専門家の関与の元、再発防止策を講じる | 対応が遅い・虚偽の報告を行う・個人情報保護委員会などの指示に従わない、放置する・効果的でない措置を講じる |
なお、個人情報保護法に基づく処罰など、情報漏洩を起こした場合の処罰について確認したい場合は、「情報漏洩発生時の処罰とは|処罰の内容・対象・事例などを紹介」をご覧ください。
5-2. 情報漏洩を予防するための対策を徹底しよう
損害を発生させないためには、情報漏洩を起こさないことが一番です。そのためには、情報漏洩を予防するための対策を徹底することが欠かせません。
効果的な情報漏洩対策を行うためには、多様な情報漏洩の発生原因を正しく把握し、自社の業務で情報漏洩リスクがある部分に優先的に措置を行っていく必要があります。過去の情報漏洩事例などを 参考にしながら、複数の対策を組み合わせて行いましょう。
情報漏洩の代表的な原因と有効な対策について確認したい場合は、「効果的な情報漏洩対策8つとは|原因を踏まえて対策することが重要!」も、あわせてご確認ください。
また、過去の情報漏洩事例について代表的なものは「情報漏洩事例18選|代表的事例からわかる対策を徹底すべき企業とは」で紹介しています。
6. まとめ
今回は、情報漏洩対策を適切に行うために押さえておくべき、情報漏洩により発生する損害のポイントについて解説しました。
最後に、この記事の要点をまとめて再確認しましょう。
情報漏洩を起こすと発生する損害の種類は、大きく分けて3種類です。
情報漏洩を起こすと発生する損害には、おおよその相場があります。例えば、損害賠償の金額については、過去の判例からも確認することができます。
情報漏洩による損害を抑えるためのポイントとは、以下の2点です。
情報漏洩は多くの損害をもたらし、最悪の場合、事業継続自体が難しくなるリスクさえあります。適切な対策を取ることで、情報漏洩発生リスクを最小限にすることが可能です。今回の損害に関するポイントも参考にしながら、情報漏洩対策を強化しておきましょう。
