株式会社シマンテックと、PonemonInstitute社は、2012年5月28日、『2011年情報漏えいのコストに関する調査:日本版』を発表した。
今回の調査は、日本を本拠とする企業の情報漏えい事件・事故のコストに関するベンチマーク調査で、日本で同調査が実施されたのは、初めてとなる。
調査結果によると、日本企業における漏えいまたは盗難のコストは、レコード1件あたり1万1,011円で、2011年の情報漏えいに関する全コストの平均は、2億71万9,847円となった。なお、「事業面での損失コスト」に限定すると、平均7千505万7,636円となる。
また、情報漏えい発生後、日本企業の「顧客離れ率」は、平均3.5%となった。
さらに、企業の40%が、情報漏えいの根本原因として、「不注意」を、33%の企業が、「悪質な内部関係者」または「内部の犯罪者」、27%の企業が、「ITとビジネスプロセスの不備」を挙げている。
なお、同レポートでは、「通知」の必要性に言及しており、情報漏えいから「30日以内に被害者に通知を行う」企業は、侵害された情報1件につき、平均して3,999円のコストを削減できる可能性があり、また、企業内に情報保護の全責任を担う最高情報セキュリティ責任者(CISO)がいる場合、情報1件当たり2,185円軽減できる可能性があると述べている。
「通知」とは、保護対象の情報の漏えいを、特定期間内に適切な人に報告するためにとる手段のことで、漏えいの被害者に「通知」するためのコストは、平均で737万8,401円となっている。
情報漏えいという「非常時」に、どうふるまうか。企業としての「胆力」は、一朝一夕には得られるものではなく、日々の注意と事前の準備、被害の想定力から、成り立つ性格のものだろう。コストを数値化し、影響を明確にすることにより、後顧の憂いを少なくすることができるのであれば、こういった調査も行う価値があるのかもしれない。
株式会社シマンテックリリース