セキュリティ事故が起きた場合の相場感
2021.08.20
インシデント発生直後には、①初動対応及び調査として、ネットワークの遮断や影響を受けたサービスの停止、情報の隔離など被害拡大防止のための措置に加え、インシデント原因や影響・被害範囲の調査、②対外的対応として、顧客や取引先など第三者に被害が発生する、またはその可能性がある場合は被害拡大防止を最優先として、インシデント概要や対応方針等を通知・公表、③復旧及び再発防止策として、インシデントにより情報システムが消失、改ざん、損傷した場合には、データやソフトウェアの復旧及びハードウェアの復旧を行いつつ、技術、組織、人の3つの観点を踏まえた抜本的な再発防止策を策定し実施する必要ある。
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
https://scan.netsecurity.ne.jp/article/2021/08/20/46161.html?fbclid=IwAR0eX8YBR_l2cgSPSE3KSasQZb86Q6utRM0FThKwzrJQI7NYQO-0Ne9zI4o
1.費用損害(事故対応損害)
被害発生から収束に向けた各種事故対応に関して自社で直接費用を負担することにより被る損害
2.賠償損害
情報漏洩などにより、第3者から損害賠償請求がなされた場合の損害賠償金や弁護士報酬などを負担することにより被る損害
3.利益損害
ネットワークの停止などにより、事業が中断した場合の利益損失や事業中断における人件費などの固定費支出による損害
4.金銭損害
マルウェア感染、ビジネスメール詐欺、インターネットバンキングなどによる直接的な支払いによる損害
5.行政損害
個人情報保護法違反(GDPRなどを含む)などの罰金、課徴金
6.無形損害
風評被害、ブランドイメージの低下、株価下落など金銭の菅さんが困難な損害
1.費用損害(事故対応損害)
①初動の業者コスト
ネットワーク遮断、証拠保全、被害拡大防止の初動対応
フォレンジック調査
初動対応・フォレンジック調査の対応方針のアドバイス・支援
被害者への謝罪、メディアや関係機関などへのコミュニケーションの支援
クレジットカード会社との調整支援など
150万円から2000万円超
②対外業者対応コスト
危機管理コンサルティング会社へのコンサルティング費用(対外的対応)
企業との既取引状況によって左右される。数十万円程度。
法律相談:被害者への通知、その他関係者に対する各種対応策の策定、訴訟対応
情報漏えいなど各種対応を依頼する場合には数十万円程度、各国法制度に則した報告などのために大手事務所に依頼する場合は数百万円程度が想定される。
DM印刷、発送
ハガキ1,000通の印刷・発送の場合は下記の通り。部数と納品までの日数によって料金が変動する。封書の場合は1通あたり100~200円程度。
新聞広告
新聞広告掲載料は全国紙で240万円前後、地方紙で50万円前後。
コールセンター費用
3か月の対応を実施する際、初月はオペレーター3席、2か月以降は1席としたとき、600~1000万円の金額必要。
見舞金購入費用
例えば、500円の券面額の場合は1枚あたり650円程度×被害者数。
それ以上が望ましい。
ダークウェブ調査会社への調査費用
スポット検索調査(3ヶ月):500~1,000万円
年間調査:1,500~4,000万円
認証情報の情報流出調査:1,000~5,000万円
③復旧及び再発防止
システム・データ復旧費用
被害状況による。
再発防止費用
ウイルス対策ソフトやメールフィルタリングソフトなどのセキュリティ商材費用
組織編成費用
セキュリティ教育費用
2.賠償損害
個人情報漏洩1人当たりの平均想定損害賠償額は30000円程度×人数
クレジットカード漏洩
不正使用の被害額の平均は1枚当たり約10万円×枚数
企業秘密の漏洩
弁護士費用
3.利益損害
4.金銭損害
5.行政被害
日本:最大1億円
EU:2000万ユーロ又は全世界年間売上高の4%(GDPR)
6.無形損害
実際には、以上のコストや賠償額よりも、社内外での説明コストを考えると1億円の支払いがあった場合でも、10倍以上のコストが人件費などでかかっていると考えた方が良い。
