損害保険ジャパン日本興亜、SOMPOリスケアマネジメント、トレンドマイクロの3社で、「セキュリティインシデントに関する被害コスト調査」が実施されました。
調査では民間企業においてセキュリティに関する意思決定者(関与者含む)1,745名を対象に行い、結果全体の43.9%を占める766名が、昨年1年間に金銭の発生する何かしらのセキュリティ事故を経験していることが分かりました。
セキュリティ事故によるコストを、コールセンター開設、お詫び品、損賠賠償などの「対外的コスト」と、外部への調査依頼費、システム復旧費、再発防止策に関する費用などの「対内的コスト」に分類し、例えば社外からの通報により発覚した場合は対外的コストが膨らむ傾向となるなど、事故のプロセスによる費用のかかり方がまとめられています。
また、組織のセキュリティ対策を5段階評価した場合の、対策が進んでいない「レベル2」「レベル1」に相当する企業が56.7%と、全体の過半数を占めていたということですが、あくまで調査に参加した企業での数値なので、国内規模で考えるともっと高い割合となるかもしれません。
実際の被害額は、会社規模、業種により扱う情報の価値が異なりますので平均値が参考になるとは限りません。
よって、この調査のグラフを参考にざっくりでも構いませんので自社の情報資産と事故の種類、それに対する対応費をシミューレーションしてみてはいかがでしょうか。
かなり背筋の凍る金額になるかもしれません。