個人情報の漏えいは、企業における大きなピンチです。
なぜなら、企業としての信頼性を失うだけでなく、さまざまな費用を負担することで、経済的にも大きな損失を被ってしまうためです。
では、個人情報漏えい時、企業が負担する費用には、一体どんなものが挙げられるのでしょうか?
個人情報漏えい時に企業が負担する費用①損害賠償
損害賠償は、漏えいした個人情報の対象者に支払う費用です。
“JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)”が独自の方法で弾き出したデータによると、1回の個人情報漏えい事故によって発生する損害賠償は、平均で5億4,850万円にも上るとされています。
とんでもない金額ですね。
また、漏えいした個人情報の対象者1人に支払う損害賠償は、平均で23,601円とされています。
もちろん、これらの数字はあくまで平均のため、全体で数千万円単位の損害賠償を支払う程度で済む場合もあります。
ただ、損害賠償が1億円を越えた個人情報漏えい事故は、全体の14%を占めており、1度の事故で数億円単位の損害賠償が発生する可能性は、決して低くはないと言えるでしょう。
つまり、企業は、損害賠償だけで壊滅的なダメージを負う可能性が十分にあるということです。
個人情報漏えい時に企業が負担する費用②対応、処理費用
個人情報漏えい事故の後は、対応や処理にも莫大な費用がかかります。
具体的には、謝罪をするための広告費用、事故の原因を調べるための費用、対応する従業員に支払う人件費、出張費などが該当します。
また、先ほど損害賠償は、個人情報漏えいの対象者に支払うものだと説明しましたが、対象者には、謝罪の意味を込めた商品なども送る必要があるため、これにも費用がかかります。
一般的には、対象者1人に対してQUOカード1枚などを送付するケースが多いです。
もちろん、謝罪の意味を込めた商品の送付にかかる費用は、1人あたりで言うとそれほど大きな金額にはなりませんが、事故の規模が大きければ大きいほど、金額は大きくなります。
例えば、個人情報漏えいの対象者が1,000人いたとすると、QUOカード等の送付だけで50万円の費用がかかることになります。
しかも、これはあくまで単純計算した金額であるため、送付代などを考えると、まだまだ金額は膨らむことになるでしょう。
個人情報漏えい時に企業が受ける経済的ダメージはこれだけではない!
企業が個人情報漏えい事故を起こした場合、上記のような費用が発生しますが、実はこれ以外の経済的ダメージも受けることになります。
それは、“機会損失”と“罰則”による経済的ダメージです。
それぞれ具体的に解説しましょう。
個人情報漏えい時に企業が受ける“機会損失”による経済的ダメージ
機会損失とは、ある事態が発生した場合に、その発生がなければ得られていたとされる利益のことを言います。
“機会費用”とも呼ばれます。
1度個人情報漏えい事故が発生してしまうと、被害拡大を防ぐため、1度業務を停止したり、通常通り業務ができなくなったりすることがあります。
そのため、対応している間はまったく利益が生まれない可能性もあるのです。
例えば、頻繁に利用されているECサイトで個人情報漏えい事故が発生した場合、被害拡大の防止や原因究明の間は、基本的にECサイトへのアクセスが制限されるため、その間、顧客は商品を購入することができず、ECサイト側は商品が売れるチャンスを逃してしまいます。
また、企業が業務を停止している間、もしくは通常通りの業務ができない間も、企業内におけるさまざまなランニングコストはかかり続けます。
個人情報漏えい時に企業が受ける“罰則”による経済的ダメージ
企業のセキュリティ体制、人員体制などに問題があったことで、情報漏えい事故が悪化してしまった場合、経営者や役員、もしくはセキュリティ担当者が罰則を受ける可能性も否めません。
例えば、個人情報保護法の場合、事故を起こした企業が、同法の定める規定に従わず、適切に事後対応しなかったとき、6ヶ月以下の懲役または30万円以下の罰金を科す可能性があります。
もちろん、経営者や役員などが逮捕されてしまうと、これまで通り企業を経営することは極めて困難となり、たちまち存続の危機に追い込まれるでしょう。
個人情報漏えい事故は絶対に起こしてはいけないもの
「個人情報漏えい事故が発生しても、事後対応をしっかりすれば問題ない」と考えている企業もいるかもしれませんが、それは間違いです。
なぜなら、たとえどれだけ適切な事後対応をしても、どれだけ経済的な余裕があっても、1度事故が発生すると、従来通りの経営状況に戻すことは難しいためです。
まとめ
企業は大規模な個人情報漏えい事故に備え、“SiteLock”の導入を検討しましょう。
これは、ウェブサイトの安全を保つ先進の診断技術を搭載したツールであり、世界中で導入されている実績のあるものです。
また、飛び抜けて導入コストがかかるわけでもありませんので、ウェブサイトの存在価値が高いECサイトの運営企業などは、特に導入するべきだと言えます。
