情報漏えいに伴う費用は平均2億円、国内企業の事件分析から明らかに

シマンテックは日本企業を対象にした情報漏えい事件に関する分析調査の結果を発表した。

[ITmedia]

　シマンテックは5月28日、2011年に発生した日本企業での情報漏えい事件に関する分析結果を発表した。情報漏えいに関わる全体費用は平均で2億円強に上ることが分かったという。

　この分析調査は米調査会社のPonemon Instituteに委託し、9業種の計15社の日本企業で実際に起きた事件を対象に実施した。情報漏えいの検出から事後対応までの費用や、売上の減少や顧客離れ、信用低下といった事業面での損失などを分析している。

　それによると、企業の情報漏えいに伴う全費用は平均で2億71万9847円だった。レコード（個人を識別できる情報）1件当たりの費用は平均1万1011円。漏えい原因では40％が「不注意」、33％が「悪質な内部関係者または内部犯罪者」、27％が「ITとビジネスプロセスの不備」を挙げた。

　事業面の損失は平均7505万7636円、漏えいによる顧客離れ率は平均3.5％で、金融サービスや医薬、技術などの業種ではより大きな影響を受ける傾向にあった。また漏えいの検知〜原因解明などの費用は同6202万2906円、情報漏えい被害者への連絡などの費用は同737万8401円だった。

　情報1件当たりの費用は、30日以内に被害者に通知した場合で平均3999円の削減効果があるほか、組織内に「CISO（最高情報セキュリティ責任者）」がいる場合なら同2185円軽減できる可能性があるという。

　シマンテックは情報を適切に保護する方法として以下を推奨している。

• 機密情報を識別、分類することによってリスクを評価する
• 情報保護のポリシーと手順について従業員を教育し、責任を持たせる
• レピュテーションベースのセキュリティ技術、積極的な脅威防止技術、ファイアウォール、侵入防止技術等の総合的なセキュリティソリューションを導入することで、エンドポイントにおけるマルウェアの排除をする
• ポリシーの準拠や実施を可能にする情報漏えい防止技術を導入する
• ノートPC上のデータを事前に暗号化して、デバイスの紛失による被害を最小化する
• 二要素認証を導入する
• 情報保護プラクティスをビジネスプロセスに統合する