企業で情報漏えいが発生した場合のリスクは近年徐々に知られるようになってきました。
しかし、実際にセキュリティインシデントが発生したらどのような損害が生じるかはご存知でしょうか?情報漏えいによって損害賠償が発生した場合、企業全体に大きな打撃を与える可能性は極めて高いと言えます。 この記事では企業の情報漏えいの事例から、被害を防ぐための対策をご紹介します。
情報漏えいの損害賠償リスク
情報漏えいによって被害を受けた顧客へ損害賠償をしなければならない場合は、1人当たりの賠償額を算出し、被害者数から総額を決定します。
重大な被害が発生しなかった場合の1人当たりの金額は3,000円 ~ 5,000円だとされています。仮に1万件の個人情報が流出して1人5,000円賠償したとすれば、5,000円×1万人=5,000万円の損害賠償となります。1人5,000円というとたいしたことはないように聞こえますが、被害に遭った人数が多ければかなり大きな賠償額になることが分かると思います。
とくに自社サイトで会員登録させている場合、会員数で被害額をイメージしてみてください。セキュリティ対策にかかるコストと天秤にかけるまでもなく、管理を蔑ろにできないことは明確です。
1人当たりの賠償額決定基準は主に以下の3つです。これらの基準に則って基本的な賠償額が決まりますが、何らかの要因によってより重大な過失が認められた場合はさらに金額が上がることも考えられます。
漏えいした情報の内訳
クレジットカードの情報などの情報が含まれていると賠償額は高額化します。住所と氏名が紐づいた情報の流出など、個人が特定するのが容易なレベルまで漏えい被害が発生した場合も額が高くなるでしょう。
また、情報の流出に精神的苦痛が伴う「手術歴」「看護記録」「宗教」などの情報が含まれていた場合も重篤な漏えいとみなされます。
二次被害の有無
- 流出したメールアドレスに迷惑メールが送られてくる
- 流出した住所に身に覚えのないダイレクトメールが送られてくる
- クレジットカード情報の不正利用が発生している
などの二次被害が発生している場合は賠償額がさらに高くなります。
インシデント後の対応
賠償額を決定する要因は実際に起きた被害の規模だけではありません。情報漏えいが発生した後の対応が適切であったかどうかも最終的な額に影響してきます。具体的には、
- 被害者への速やかな連絡
- 不具合の原因への迅速な対応
- 再発防止策の策定
などが挙げられます。
2022年に施行された改正個人情報保護法で、個人の権利・利益を害する可能性が高い情報漏えいが発生した場合は「個人情報保護委員会への報告および本人への通知」が義務になりました。
適切な対応を行わなかった場合は「法令を遵守する意識がない」とみなされて賠償額が高まる可能性もあるため、有事の際は誠実な対応を心掛けなければなりません。
情報漏洩時に想定される損害賠償以外のリスク
情報漏えい時に発生する被害額は損害賠償だけではありません。
日本ネットワークセキュリティ協会(JNSA)が2023年に実施したアンケート※によれば、Webサイトからの情報漏えいで生じた被害金額は平均2,955万円、クレジットカード情報を含む情報漏えいだった場合は3,843万円でした。
不正利用に対するカード会社からの賠償請求などが発生するため、比較的金額が高くなることが分かります。
また、漏えい被害に遭ったと回答した中の7割超が中小企業だったとのデータも出ています。大きい会社が攻撃を受けやすいわけではなく、会社の規模を問わず莫大な額の被害に遭っていることにも注目すべきです。
被害金額の内訳として、具体的には以下のような被害が想定されます。
詐欺・脅迫などによる損害
例えば「顧客情報を公開されたくなければ●千万円払え」といった脅迫が届くなど、攻撃者からのアクションによって損害を被ることも少なくありません。また、インターネットバンキングを乗っ取って直接金銭を盗み取るパターンなども想定できます。
脅迫の場合は拒否したときにも新たな損害が起こる可能性があるため、慎重に対処する必要があります。
イメージ低下・顧客の喪失
情報漏えいが起こったとなるとイメージが低下し、顧客からの信頼も下がってしまいます。上場企業であればイメージの低下が株価の下落につながる可能性も高いでしょう。
具体的な数値として被害額を出すことは難しいかもしれませんが、イメージ低下によってユーザーの離反が起こることも考えるとかなりの打撃になると考えられます。
サイト停止による機会損失
サイト経由で不正アクセスや情報漏えいが起こった場合、一時的にサイトを閉鎖しなければならない可能性が高いです。
サイトの閉鎖期間中、本来ならば得られたはずの機会損失も被害の一部と捉えられます。閉鎖したサイトが売り上げに直結するECサイトだった場合は特に甚大な損害を生むでしょう。
被害額としての算出が難しい項目ですが、イメージダウンによる損失も併せて考えると決して無視できない被害になります。
問題解決までの業務にかかる費用
情報漏えいが発覚してから全ての問題を解決するまでには多大な時間と人件費がかかります。外部に委託しなければならない業務も多々あるため、こちらも損害としては大きくなるでしょう。
①調査費用・復旧費用
特にサイバー攻撃による漏えい被害が発生した場合、残ったデータを詳しく調査して原因を特定しなければなりません。また、セキュリティの専門家がいない場合は復旧作業を外部のサービスに頼ることになるでしょう。
対応費用はインシデントの被害規模によりますが、数十万~数百万円はかかると想定されます。また、端末やサーバーの入れ替えが必要となればさらに高額な費用が発生します。
②法律相談、裁判費用
顧客から賠償請求があった場合の対応、行政への手続きには法律の専門家によるアドバイスが必要です。
裁判に発展した場合は弁護士費用もかなり高額になってくる可能性があります。
③顧客対応のコールセンター費用、広告宣伝費
被害者の規模によって対応は変わってくるものの、顧客へのケアにもかなりの費用がかかるでしょう。具体的には、一人一人にDMを送る、マスコミを通じて被害の通知と謝罪を行うなどの対応が挙げられます。実際の事例では、賠償とは別にお詫びの品を送る対応を行う企業もありました。
また、情報漏えいによって被害を受けた顧客が多かった場合は外部のコールセンターに委託して専用の対応窓口を設けるパターンも存在します。
事例①関連会社での情報漏えいによる損害賠償
ここからは実際に起こった損害賠償の事例についてご紹介します。まずは2014年に発覚したベネッセコーポレーションの顧客情報流出事件。(参考:日本経済新聞※1)
社員による情報の持ち出しが発覚したのはベネッセ本社ではなく委託先の関連会社ですが、運営元であるベネッセに監督義務違反があったとして訴訟に発展しました。
情報漏えい被害に遭った顧客約5700人がベネッセを相手に訴訟を起こし、1人当たり3,300円・総額約1,300万円の賠償が決定しました。
流出した情報についてはそこまで秘匿性が高くないと判断されたため1人当たりの金額は比較的少額ですが、機密情報を有するサプライチェーン企業のセキュリティ保全の必要性が分かる事例です。
事例②情報漏えいの責任を巡って委託先へ損害賠償を求める
2018年に群馬県前橋市の学校で発生したこの事例で発生した賠償金は一審時点で約1億4,200万円とかなり高額です。(参考:前橋地方裁判所判例※2)
なぜこんなに高額な賠償になったのかというと、顧客への賠償ではなく「情報漏えいによって受けた損害すべて」を委託先であるNTT東日本に請求した事案だからです。
先述したように、情報漏えいが発生した場合は多額の損害が発生します。この事例では学校ネットワークを管理していたNTT東日本に責任があるとして、前橋市が同社を提訴したという形です。
裁判所の資料では、当初前橋市が請求していた賠償金約1億7,000万円の内訳を以下のように記しています。
- 調査・システム復旧費用:(外部・内部あわせて)約6360万円
- 端末復旧費用:約8260万円
- 保護者対応費用、職員の時間外勤務手当など:約1470万円
- 第三者委員会、弁護士への報酬:約1720万円
※金額は10万の位で四捨五入して各項目をまとめた概算です。
学校組織で発生したインシデントなので内訳の細かい部分は違ってくるかもしれませんが、45,000件以上の個人情報が流出したサイバー攻撃の事例でかかった費用の例としてはかなり具体的で参考になると思います。
企業で起きた情報漏えい事例だと委託先を提訴することは少ないため、ここまできっちりと被害金額を公表しているパターンはほとんどありません。そのため、「実際にこのくらいの費用が発生する」という金銭的被害を具体的に算出・公表した貴重な一例であると言えます。
情報漏えいリスクを避けるためのセキュリティ対策
情報漏えいが起こる前の対策をしっかりしておけば、リスクは圧倒的に軽減されます。
まずは基本的な対策がきちんとできているかチェックしましょう。もっと詳しくセキュリティ対策について知りたい方は「サイバー攻撃とは?企業が行うべき対策を分かりやすく解説」もご覧ください。
怪しいURLやファイルを開かない
特にサイバー攻撃はフィッシングメールを通じたマルウェアへの感染、不正アクセスが原因であることが多いです。
不審なメールに記載されたURLやファイルは開かないようにしましょう。ブラウザにフィルタリング設定を入れるのも有効です。
セキュリティ対策ソフトを入れる
ファイアウォール、WAFなどのソフトでの対策も必要不可欠です。
個人が所有するデバイスだけでなく、サイトを管理するツールやサーバーにも設置するようにしましょう。
パスワードを厳密に管理する
推測されやすいPWは使わない、使いまわしはしないなど。
簡易的なパスワードを使っていると、攻撃者が認証を突破してしまうリスクが高まります。十分に注意しましょう。
Webサイトのセキュリティを強化する
バックアップを取る、アップデートの管理を行うなど。
例えばWordPressのサイトならセキュリティ用のプラグインを入れるといった対策も考えられます。もし保守しきれていないようであれば、外部サービスの利用も検討すべきです。
また、先述したようにセキュリティ会社の保守に抜けがある可能性もあります。定期的なセキュリティ診断を欠かさないことが大切です。
>>>保守サービス・無料セキュリティ診断についてはこちらから<<<
まとめ
情報漏えいによって発生する損害は数百万円~場合によっては数億円にまでのぼる可能性があります。
自社が大きな被害をこうむることがないよう、普段からセキュリティ対策を怠らないようにしましょう。もし自社のサイトやサーバーの状態に不安がある場合は当社の保守サービスも検討してみてください。
※1 JNSA+「サイバー攻撃被害組織のアンケート調査(速報版)」
※2 前橋地方裁判所民事第2部「令和2(ワ)145 損害賠償請求事件」