企業のリスク — 情報漏洩の被害額

コラム

企業のリスク — 情報漏洩の被害額

情報漏洩が企業にもたらす損失とは

　もし、ある日あなたの会社から顧客情報や従業員情報、取引先の機密情報が漏洩したら、企業にどれほどの被害が生じるかを具体的に想像できるでしょうか。情報漏洩は単なる”賠償”や”罰金”にとどまらず、顧客や取引先との”信頼関係の損失”、”ブランド価値の低下”、”取引の停止”、場合によっては”株価への影響”まで、経営に深刻なダメージをもたらす可能性があります。

　多くの経営者や情報システム部門の担当者は、外部からのサイバー攻撃による被害をイメージしがちですが、従業員や委託先など内部関係者による不正な情報持ち出しも、決して軽視できないリスクです。

　情報漏洩の被害額は、単純な補償費用だけでなく、調査費用、システム復旧費用、訴訟対応費用など直接的な金銭損失に加え、信用失墜や顧客離れなどの間接的損失も含めて考える必要があります。被害の規模や影響範囲は企業ごとに異なりますが、近年の事例や統計データを見ると、数千万から数十億円規模に及ぶことも少なくありません。

　本コラムでは、公開されているデータや事例を基に、情報漏洩が企業にもたらす金銭的損失の全体像を整理します。

情報漏洩の定義とその影響範囲 ▽
情報漏洩が企業にもたらす金銭的損失 ▽
内部不正による漏洩の実態と経済的影響 ▽
情報漏洩事例に見る企業への金銭的影響 ▽
法令・規制に基づく賠償・罰則リスク ▽
信用失墜・株価下落といった長期的損失 ▽
まとめ：経済的リスクに備えるために ▽

１．情報漏洩の定義とその影響範囲

　情報漏洩とは、企業が保有する顧客情報、従業員情報、取引先情報などの機密情報が、許可なく外部に流出することを指します。漏洩の原因は、外部からのサイバー攻撃だけでなく、内部不正やヒューマンエラーも含まれます。内部不正は、従業員や委託先による意図的な情報持ち出しや不正利用が該当します。

　情報漏洩の影響範囲は多岐にわたり、顧客への損害、法的・行政的制裁、企業の信用低下、株価下落など、直接的・間接的な損失を生む可能性があります。特に、顧客情報や個人情報が含まれる場合、個人情報保護法に基づく報告義務や補償義務も発生します。

　さらに、情報漏洩が発生した場合には、原因調査や被害範囲の特定、顧客や関係先への通知など、多岐にわたる対応が必要です。

　情報漏洩は単なるデータ流出にとどまらず、企業活動全体に広範な影響を与える可能性があります。

2．情報漏洩が企業にもたらす金銭的損失

　情報漏洩による損失は、”直接的”な金銭的損失と”間接的”な損失に分けて考えることができます。

[直接的損失の例（想定パターン）]

事故原因・被害範囲調査費：￥300万～￥400万
通知費用（顧客・取引先への案内やおわび文送付など）：￥300万～￥1,000万
補償金（契約違反や個人情報漏洩に伴う賠償）：￥1,000万～￥5,000万
システム復旧費用：￥500万～￥3,000万
訴訟対応費用：￥1,000万～￥2,500万
法令違反による罰金・賠償金：￥数千万～1億円

[間接的損失の例]

顧客離れによる売上減少
ブランド価値の低下
信用失墜による新規顧客獲得の難化
株価下落

　すべての費用が必ずしも発生するわけではありませんが、情報漏洩の規模や内容、企業の業種や保有情報量によって被害規模は大きく異なるため、自社の状況に応じたリスク評価が重要です。

　直接的・間接的な費用項目を整理することで、企業は経済的影響の全体像を把握できます。

3．内部不正による漏洩の実態と経済的影響

　内部不正は、従業員や委託先による意図的な情報持ち出し、無断コピー、外部への転送などを指します。発覚まで時間がかかることが多く、被害が累積しやすい傾向があります。その結果、調査費用や通知費用が増大し、企業の経済的負担も大きくなることがあります。

　さらに、IPAの「内部不正による情報セキュリティインシデント実態調査」によれば、Ponemon Institute が日本を含む7か国で実施した調査(2015 Cost of Cyber Crime Study: Global)の結果では、内部不正の経験割合は35％で最も低かったものの、年間平均被害額は約14.4万ドル（最も高額）という傾向が確認されています。

　また、同調査のインタビュー調査において、専門家の意見として「被害額ベースで考えると、サイバー攻撃よりも内部犯行による損害の方が大きい」という指摘が寄せられています。

　これらの調査結果は、内部不正が発生した際の金銭的インパクトが極めて大きいことを示しています。内部不正は表面化しにくい一方で、発生すれば経営を直撃する重大な経済リスクとなり得ます。

4. 情報漏洩事例に見る企業への金銭的影響

　情報漏洩は、企業にとって金銭的損失や法的対応の負担など、経営に直接的な影響を与える重大なリスクです。ここでは、実際に発生した国内の情報漏洩事例を取り上げ、企業にどのような影響が生じたのか、その規模や内訳を具体的に見ていきます。

ベネッセホールディングスの個人情報流出（2014年）
委託先社員による内部不正が原因で、顧客情報約3,500万件が漏洩しました。この事件に関連して、ベネッセはおわびにかかる費用などとして1人当たり3,300円、総額約1,500万円の損害賠償を含む、約260億円の特別損失を計上しています。この特別損失には、顧客への補償金やおわび文書の発送、事件調査、セキュリティ対策などが含まれています。
TBC顧客アンケート情報漏洩（2002年）
顧客アンケート情報が流出しました。漏洩した情報には、氏名、住所、電話番号、年齢といった基本情報だけでなく、身体に関するセンシティブ情報も含まれていました。この事件では、原告13名に対し1人あたり3万5,000円、1名に2万2,000円の損害賠償が認められ、合計約47万7,000円の補償が行われています。
Yahoo! BB 会員の顧客情報流出（2004年）
ソフトバンクBBが運営するADSLブロードバンドサービス「Yahoo! BB」の顧客情報が、内部関係者によって不正に取得され、約450万件の個人情報が漏洩しました。漏洩した情報には、氏名、住所、電話番号、メールアドレスなどが含まれており、外部に持ち出された後、金銭を脅し取る目的で使用されました。この事件に関連して、全会員に対して500円の金券が送付されました。さらに、対応に納得しない会員らが損害賠償を求めた訴訟では、1人につき6,000円（慰謝料5,000円、弁護士費用1,000円）の支払いが命じられました。（約292億5千万円）

　これらの事例から、情報漏洩は企業に対して金銭的損失や法的対応の負担をもたらし、補償や訴訟対応などの対応には多岐にわたるコストが発生することがわかります。一方で、間接的に内部対策費用や、売上げの低下、ブランド価値の喪失という、損失も加わるのです。

　企業は、こうした事例を教訓に、情報管理体制の強化や従業員教育、委託先管理の徹底など、事前対策を講じることが不可欠です。

5．法令・規制に基づく賠償・罰則リスク

　ここで、法令・規則の賠償・罰則も確認しておきましょう。企業においては、個人情報や営業秘密の不正取得・漏洩が行われ、それが法人の業務に関連している場合には、行為者本人だけでなく法人にも罰金刑が科されます。

　個人情報保護法では、法人の業務に関連して不正に個人情報を取り扱った場合、法人には1億円以下の罰金が科されます。

　また、不正競争防止法では、法人業務に関連して営業秘密情報を不正に取得・使用した場合、法人にも2,000万円以下の罰金（海外使用など特別な場合は3,000万円以下）が科される可能性があります。

　このように、情報漏洩や営業秘密の不正取得・使用は、企業にとって最大1億円規模の法令上の罰金リスクや、場合によってはさらに数千万円規模の損失につながります。法令違反による罰則や賠償は法人にも及ぶため、企業は法的リスクへの認識が欠かせません。

6．信用失墜・株価下落といった長期的損失

　情報漏洩は、直接的な金銭的損失にとどまらず、企業の信用やブランド価値、株価に甚大な影響を及ぼし、回復には相当な時間がかかり、金額には換算できない多大なる損失を生みます。

　特に大手企業やブランド力の高い企業では、顧客離れや取引先との信頼低下が新規事業の拡大や契約獲得に直結し、短期的な補償費用以上の経済的ダメージをもたらします。加えて、短期的な補償費用に加え、長期的な信用回復にかかる費用も発生し、企業活動全体に大きな負担となることがあります。

　情報漏洩によって企業のブランド価値が低下し、売上減少や新規顧客獲得の困難化を招くほか、公開企業では株価に短期的・中期的な影響が及ぶこともあります。さらに、重要取引先からの信用喪失により契約解除や取引縮小が生じ、企業イメージ回復のための広報や顧客フォローに多大な費用と時間を要することも少なくありません。

　このように、情報漏洩が発生すると、経済的影響は単なる金額換算にとどまらず、企業活動全体に波及します。そのため、情報漏洩発生時の対応マニュアルや広報方針、株主・顧客への適切な情報開示戦略を事前に策定しておくことが、企業価値を守る上で非常に重要です。

7．まとめ：経済的リスクに備えるために

　情報漏洩は、直接的な金銭的損失だけでなく、信用失墜やブランド価値の低下といった間接的な経済的影響も伴うリスクです。内部不正による漏洩は発覚までに時間がかかる場合が多く、損失が累積しやすい点も特徴です。短期的な補償費用に加え、長期的な信用回復や広報対応にかかる費用も、企業にとって経済的な負担となり得ます。

　企業は、情報管理体制の強化、社員教育、アクセス制御、委託先管理の徹底など、事前の対策を講じることでリスクを軽減できます。また、情報漏洩発生時の対応マニュアルや広報方針、株主・顧客への情報開示戦略をあらかじめ整備しておくことも重要です。

　情報漏洩の規模や内容、企業の業種や保有情報量によって被害規模は大きく異なりますが、費用の目安は以下の通りです。

[想定される費用の整理（目安）]

事故原因・被害範囲調査費：￥300万～￥400万
補償金：￥1,000万～￥5,000万
通知費用：￥300万～￥1,000万
訴訟対応費用：￥1,000万～￥2,500万
罰金：￥数千万～1億円
システム対応費用：￥500万～￥3,000万

　4章の事例では、上記を大きく上回る費用がかかったことも事実です。これらの費用に比べて、事前対策を徹底し、調査・分析できる環境を備えることで、これらの費用を大きく下げることは可能です。それにより、経済的インパクトを最小化し、企業価値を守ることもできるのです。

　ぜひこれを機に、”事前”対策を徹底してください。

出典・参考

IPA（情報処理推進機構）内部不正による情報セキュリティインシデント実態調査
https://www.ipa.go.jp/archive/security/reports/economics/insider.html
e-Gov 法令検索個人情報の保護に関する法律 / 不正競争防止法
https://laws.e-gov.go.jp/
Ponemon 2015 Cost of Cyber Crime Study: Global
http://www.cnmeonline.com/myresources/hpe/docs/HPE_SIEM_Analyst_Report_-_2015_Cost_of_Cyber_Crime_Study_-_Global.pdf

製品概要を見る▶

事例・活用シーンを見る▶

お問合せ

BlackBox Suiteは、多くの実績を持つ情報漏洩対策ソリューションです。
ご不明な点はお気軽にお問い合わせください。
利用用途やリスクに応じて、最適なご提案をいたします。

資料請求・お問合せ

パートナー募集