個人情報漏えいの想定損害賠償総額(2015年)は?

答え:2,500億円

外部からの不正アクセス、あるいは内部関係者による情報漏えい事故が相次いでいます。もし、自分の勤務する会社が個人情報を流出させてしまったら? 道義的責任はもちろん、多大な損害賠償を負うことになります。具体的にどれほどの経済的損失になるのか。あらためて考えてみましょう。(クラウド Watch特約)

[2016年 9月 9日公開]

漏えいだけが問題にあらず? 顧客への損害賠償額を推計すると…

サイバー攻撃の悪質化はとどまるところを知りません。コンピューターウイルスの脅威は1980~1990年代にはありましたが、当時はまだ人をからかうメッセージが表示される程度の愉快犯が中心。今にして思えば、実に牧歌的な時代でした。

しかし、その様相は今や全く変わりました。オンラインバンキングのIDを盗み取る、偽のアダルトサイトを利用させて不当請求を行うなど、金銭狙いの攻撃が現実に横行しています。

サイバー攻撃の脅威は当然、企業にとっても無視できない──、いや、むしろ個人以上に警戒を加速させねばなりません。一般に、企業は顧客から何らかの情報を預かって、それをもとに業務を行います。もし、その情報を盗まれたら? 「あーあ、損しちゃった」では済みません。顧客に対する損害の賠償が、道義的あるいは経済的な面から必要になってくるからです。

NPO法人の日本ネットワークセキュリティ協会(JNSA)が毎年発表している「情報セキュリティインシデントに関する調査報告書」の2015年版(速報版)によると、マスコミ報道などで明らかになった情報漏えいインシデントは799件。これによって延べ496万63人分の個人情報が外部に流出したといいます。

JNSAでは個々の漏えい事件を分析し、被害規模を算出しています。例えば、漏れた情報が名前だけの時に比べ、仮に住所やクレジットカード番号もセットで漏れていたとすると、相対的に被害規模は大きくなります。これに事後対応の適切度などを加味し、JNSA独自の基準で損害賠償額を想定。この金額の総計が、2015年には2,500億円(2,541億3,663円)に達していました。

サイバー攻撃の根絶はもはや不可能? 時代に即した対応を

この「2,500億」という数値だけを聞くと、どこか絵空事に思えますが、これをインシデント件数の799件で割ると、その額は3億3,705万円。つまり、情報漏えい事件を1回起こしてしまうと、単純平均で3億円以上の経済的損失を被る計算になります。中小企業にとっては、経営の屋台骨を揺るがしかねません。もちろん大企業でも無視できるレベルではないでしょう。

JNSAの報告書でも指摘されていますが、2015年に発生した情報漏えい事件で最も規模が大きかったのは日本年金機構によるもので、最終的には101万人4,653人分の情報が、不正アクセスによって流出したことが明らかになりました。

この事件では、直接の被害者たる年金加入者への賠償などは行われていないようです。しかし、電話対応窓口を増やし、関係者へ文書を発送するなどのコストは当然発生しています。

また、2014年のことになりますが、ベネッセの顧客情報漏えい事件では3,504万件の個人情報が流出。そして顧客に対してお詫びの品として500円分の金券を送りました。同社の2014年度決算では「お客様へのお詫び」として、200億円の特別損失が計上されています。

個人情報漏えい問題は、ただ一つの分かりやすい原因があるわけではありません。日本年金機構は外部からの標的型攻撃、一方のベネッセは内部関係者による不正持ち出しでした。よって、対処法も全く異なります。それだけに対処が難しいといえます。

おそらく、サイバー攻撃は今後も予想だにしない方向へと進化していくことでしょう。そして、その対策に近道はありません。日ごろからアンテナを高く伸ばし、ネットセキュリティにまつわる最新情報を収集し続けること。この基本をおろそかにせず、徹底していきましょう。

協力メディア

クラウド Watch (http://cloud.watch.impress.co.jp/)

「数字で理解するテクノロジーの進化と真価」協力予定メディア

ビジネス・IT系のメディアとの「数字」を切り口にしたコラボレーション記事です。ご期待ください。

プレジデントオンライン/JBpress
1月中旬に公開予定

記事と関連する製品・ソリューション

近しいキーワードの記事をご紹介します。