情報漏洩やランサムウェア感染 中小企業でも数千万円の損失の可能性
情報漏洩やランサムウェア感染などのインシデントが発生した場合、事故対応ほか、被害者からの損害賠償請求、事業中断による利益喪失など、中小企業でも数千万円単位、ときには億単位の費用がかかり、経営に多大な影響が出る可能性があります。NPO法人の日本ネットワークセキュリティ協会(JNSA)が2024年、報告書にまとめました。どの項目にいくらかかるのか、どんな対応が必要なのかを整理しました。
情報漏洩やランサムウェア感染などのインシデントが発生した場合、事故対応ほか、被害者からの損害賠償請求、事業中断による利益喪失など、中小企業でも数千万円単位、ときには億単位の費用がかかり、経営に多大な影響が出る可能性があります。NPO法人の日本ネットワークセキュリティ協会(JNSA)が2024年、報告書にまとめました。どの項目にいくらかかるのか、どんな対応が必要なのかを整理しました。
目次
情報セキュリティの世界では、システム運用におけるセキュリティ上の問題として捉えられる事象を「インシデント」と呼びます。企業でのインシデントには次のような例があります。
こうした事態が起きた場合、情報処理推進機構(IPA)の「中小企業のためのセキュリティインシデント対応の手引き」は、たとえば、情報漏洩があった場合、以下の手順で対応を進めるよう案内しています。
検知・初動対応…情報セキュリティ責任者は速やかに経営者に報告。システム上に残された記録に注意しながらネットワーク遮断などを実施する
報告・公表…影響が広く及ぶ場合は、状況をウェブサイトやメディアを通じて公表する。公表によって被害の拡大を招かないよう時期・内容・対象などを考慮する
復旧・再発防止…適切な対応判断を行うために状況を整理。証拠保全のうえ復旧と再発防止策づくりに取り組む
サイバー攻撃による被害は、経営者が経営課題の一つとして認識されてきています。しかし、どのような被害、不利益が発生するのか、金銭的なインパクトを適切に認識しないまま、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくないと、日本ネットワークセキュリティ協会(JNSA)は指摘しています。
そこで、JNSAは2017年1月から2022年6月までの5年半に発生した1320組織(このうち621組織は中小企業)のサイバー攻撃被害について、サイバー攻撃の種別ごとに統計データを集計し、被害実態を調査レポートにまとめました。
レポートでは、インシデント発生時に生じる損害を以下のようにまとめました。
インシデントが起こった場合、まず必要なのが費用損害(事故対応損害)です。多くの場合、外部の専門の会社への委託が不可欠だといいます。また、直接的な対応だけでなく、賠償への対応や、利益損失など幅広い影響があるといいます。
↓ここから続き
それぞれについて、詳しく紹介します。
被害発生から収束に向けた各種事故対応に関して委託先への支払を含め、自組織で直接費用を負担することにより被る損害が含まれます。
費用損害を詳しくみていくと次のような項目が考えられます(このほかにもシステム復旧費用や再発防止のためのセキュリティ費用がかかります)。
その後の対応を進めるためにも原因や被害範囲等各種調査が必要となり、サイバー攻撃等の場合、フォレンジック調査(PC、サーバーにあるアクセスログ等を解析し、事故原因や影響・被害範囲の特定などを行う調査)が必要です。
専門業者に委託するのが通例でおおむね300万~400万円が必要となりますが、被害状況によっては数千万円に上る場合もあります。
個人情報保護法などを踏まえた対応が必要な場合は、法律事務所へ依頼するのが通例でおおむね数十万円以上が必要となります。
特に2022年4月に施行された改正個人情報保護法は、一定の要件のもと、個人情報保護委員会等への報告や、被害者への通知義務が課されているので、対応の確認が必要です。
さらに各国法制度に即した報告などのために大手事務所に依頼する場合は、対応規模にもよりますが、数百万円以上の額を要することも考えられるといいます。
顧客への被害が明らかとなった場合には、経緯・現状・今後の対応等を記載したお詫び文を作成し、ホームページへの掲載、電子メールでの送付、場合によってはDM(ダイレクトメール)として送付することを検討する必要があります。
また、大量の個人情報が漏えいする等被害規模が大きい場合には、企業が把握できていない潜在的顧客やDMが不通となる顧客が多数存在することも想定されるため、新聞でのお詫び広告の出稿を検討する必要があると指摘しています。
DMは1通あたり130円前後、新聞広告掲載料は、全国紙では240万円前後、地方紙では50万円前後となります。顧客層、地域ごとの発行部数を考慮しながら掲載紙を決めるよう勧めています。
顧客の個人情報の漏洩が発生した場合、またはそのおそれを認識した場合には、被害者やその家族だけでなく、その企業のすべての顧客、部外者等からの問い合わせに対応するため、電話による受付体制を整備する必要があります。
コールセンター事業者に委託する場合、インシデントの規模・内容を踏まえ、設置する場所(コールセンター事業者の施設か自社施設か等)、対応する曜日(土・日・休日を含むか)、時間帯(1日8時間を超過して対応するか)、対応期間(何ヵ月実施するか)を決定していく必要があります。
情報漏洩なら、問い合わせを実施する人の割合(反響率)はおおむね全体の1~3%程度であり、対応期間を1~6ヵ月(2ヵ月目以降は問い合わせ数が減少するため、体制を縮小する)にて設定するのが一般的だとしています。
初期費用と運用費用の合計について、オペレーター1席あたりの価格に引き直した場合、概ね1ヶ月100~200万円程度の金額が必要となります。例えば、3ヵ月の対応を実施する場合、初月はオペレーター3席、2ヶ月目以降は1席としたときには、700~1000万円程度の金額が必要だとしています。
損害賠償金とは別に、実被害の状況や顧客との関係性などに配慮しお詫びの一環として見舞金・見舞品を送付するケースがあるといいます。
見舞金・⾒舞品はプリペイドカードとすることが多く、券⾯額も500円とすることが多い一方で、額面をめぐっては被害者との意識の乖離が大きい部分でもあるので、慎重な対応を勧めています。
500円の券面額を有するプリペイドカードを送付する場合には、印刷料や送料等を考慮すると1枚あたり650円程度の額が必要となります。
インシデントが発生したとき、インターネット上で特定の話題に関する議論が盛り上がり、直接関係のない事象も含めてバッシングが行われてしまうと、風評や対象者の心理的な影響も考えられます。
インターネット・SNS炎上対策会社に依頼するとおおむね以下の費用が想定されます。
SNS空間のモニタリング・監視には短くても3ヵ月~1年はかかり、その期間にかかる技術者・コンサルタントの費用として、概ね300万~900万円程度のコストを要すると想定されます。
情報漏洩があった場合、クレジットカード情報、個人情報、機密情報などを販売・取引するダークウェブへの調査も必要ですが、犯罪に巻き込まれないために専門の調査会社に委託することになりますが、かかる費用は調査内容によって異なります。
一例として以下の費用を紹介しています。
クレジットカードの情報が漏れた場合、不正使用を監視するためのモニタリング費用がかかります。費用感は以下の通りです。
情報漏洩など、第三者に対して損害を与えた場合には損害賠償を請求される場合があります。
JNSAが2016~2018年に調べたところでは、1人あたり平均想定損害賠償額は約2.8万円でした。他社から管理の委託を受けている個人情報を漏えいした場合、委託元企業でも対応に費用がかかることから、損害賠償額は中小企業であったとしても数千万円~数億円といった額になる場合があります。
高額な損害賠償責任を負わないようにするため、契約書において損害賠償額の上限を設定する条項等を規定することが一般的といえますが、委託先に故意または重過失があった場合には、こうした規定が認められない可能性もあるので注意が必要です。
企業によるITの利活用が進む中で、製造業における制御システム、飲食・小売業におけるPOSシステム、通販業におけるECサイトなど、多くのシステムが生産・営業活動に直結している現状においては、これらシステムが停止することで事業が中断し、売上高の減少に直結します。
JNSAは、たとえば、以下のように企業における平時の売上高・固定費・変動費・営業利益の額を確認し、予想されるシステム停止期間ごとにいくらの損失となるかを想定しておくことを勧めています。
項目 | 平時 | 事業中断時 | 差額 |
---|---|---|---|
売上高 | 10億円 | 6億円 | ▲4億円 |
固定費 | 2億円 | 2億円 | ー |
変動費 | 7億円 | 4.2億円 | 2.8億円 |
営業利益 | 1億円 | ▲0.2億円 | ▲1.2億円 |
金銭被害には、ランサムウェアの身代金や、ビジネスメール詐欺等による直接的な金銭(自組織の資金)の支払いによる損害などが含まれます。
行政損害とは、個人情報保護法における罰金、GDPRにおいて課される課徴金などの損害が含まれます。日本で、データベース等不正提供罪、委員会による命令違反の場合、最大で1億円が課される場合があります。
EUの一般データ保護規則(GDPR)でも、事業者に課されている義務が果たされない場合、2段階の制裁金が科される可能性があります。
無形損害には、風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換算が困難な損害などが含まれます。
たとえば、過去の例でいえば、インシデントによるブランドイメージ毀損がきっかけとなって、サービスの廃止や長期間の利用停止、上場の廃止を余儀なくされた事例が複数あるといいます。
(続きは会員登録で読めます)
ツギノジダイに会員登録をすると、記事全文をお読みいただけます。
おすすめ記事をまとめたメールマガジンも受信できます。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。