情報漏えいで膨らむ損害、被害企業の平均コストは4億円超

事後対応のためのコストなどを含めた損害額は平均で400万ドル。発覚が遅れるほどコストがかさむ実態も判明した。

[鈴木聖子，ITmedia]

IBMの報告書

　米IBMは6月15日、世界の企業からの情報流出に伴う損害の実態に関する報告書を発表した。事後対応のためのコストなどを含めた損害額は平均で400万ドル（約4億2400万円）に達し、2013年に比べて29％増えたと報告している。

　2015年に報告された情報流出事案の件数は前年より64％増え、手口も高度化が進んでいるという。流出した情報1件当たりの損害額は平均で158ドル。法令で厳重な保護が義務付けられている業界の場合はさらに損害が大きく、医療関連業界では2013年より100ドル増えて1件当たり355ドルに上った。

　発覚が遅れるほどコストがかさむ実態も判明した。100日以内に情報流出を発見できた場合、平均の損害額は323万ドルだったのに対し、100日を過ぎると438万ドルに膨らんでいた。

　発見までにかかった日数の平均は推定201日、封じ込めに要した日数は推定70日だった。事前に事業継続マネジメント（BCM）プロセスを定めていた企業の場合、BCMがなかった企業に比べて発見までにかかる日数は52日短く、封じ込めに要した日数も36日短かった。

　情報流出に伴うコストの内訳は、フォレンシック分析、連絡通信、法務関連コスト、法令義務対応などが59％を占めた。米国のセキュリティ担当幹部の70％は、インシデント対応計画を準備していなかったと回答しているという。

　インシデント対応チームを活用すれば、情報流出に伴うコストは平均で約40万ドル（1件当たり16ドル）縮小できるとIBMは試算。事前の計画がなければ、対応は極めて複雑で、多くの時間を取られると指摘している。

　調査は米国や欧州、日本、アラブ諸国などの約400社を対象に、情報流出に伴う直接的・間接的コストについて聴き取りを行った。

　情報流出を巡っては米連邦捜査局（FBI）も4月の時点で、2015年に入ってから被害が激増していると報告。会社の経営者や信頼できる取引先を装って電子メールで担当者をだますなど、手口が巧妙化しているとして注意を呼び掛けていた。

「情報漏えいが事業継続に与える影響は？」