データ漏洩が組織に及ぼす経済的影響

      

概要


ここでは、データ漏洩が組織に及ぼす経済的影響について紹介します。
なお、本内容は制御システムに特化した情報では無いものの、データ漏洩のリスクがどの程度企業の財務諸表に影響を与えるかが分かり、サイバーセキュリティに関するリスクについて知見が少ない人たちへの説明に役立つと思います。

データ漏洩のコスト


年度別推移

以下のデータは、IBM Security後援を受け、Ponemon Instituteが発行している “Cost of a Data Breach Report”の結果である[1][2]。2019年度のレポートでは、2018年7月から2019年4月の間に データ漏洩被害にあった507社(内訳:3,211人、16か国、17産業)へのインタビューを実施している。このレポートにおけるデータ漏洩コストの分析は、ビジネスの損失(収益損失、ビジネス中断、顧客損失など)、データ漏洩の検知から上層部への報告といった対応、法律や規制への対応など、さまざまな要因を考慮に入れている。
本レポート(2019)によると、1回のデータ漏洩に伴う平均コストは過去5年間で12%上昇し、2019年では平均3.9百万USD(約4.2億円*1) にのぼる。また、コストの内訳をみると、ビジネスの損失(収益損失、ビジネス中断、顧客損失など):1.53百万 USD(約1.6億円)が最大のコストである。
      

過去5年間で12%上昇し、平均3.9百万USD(2019年)

資料:IBM Security. “Cost of a Data Breach Report 2019”. https://www.ibm.com/downloads/cas/ZBZLY7KL を基に作成

      
最大のコスト要因がビジネスの損失であることから、この損失を低減することが大きな損失から免れる方法だと推察できる。本レポートにおいても、企業がデータ漏洩に対応するスピードと効率性を高めることが最も損失を低減できるとデータより試算されているため、CSIRTやSOCチームの配備やアウトソーシングがまだできていない組織は、本データを基に経営層に予算を付けてもらうことをお願いすると良いと考える。

産業別

産業別のコストを確認すると、データ漏えいのコストは医療系企業が一番高く、医療系企業における漏えいの平均コストはおよそ6.45百万USD(約6.9億円*1 )と、業界平均より66% と高い。
      

データ漏えい関連のコストは医療系企業が一番高い

資料:IBM Security. “Cost of a Data Breach Report 2019”. https://www.ibm.com/downloads/cas/ZBZLY7KL を基に作成

      
今後は、欧州GDPRのような個人情報保護規制(2019年7月にサイバー攻撃によるデータ漏洩により約250億円の制裁金を科せられた企業もある[3])や、中国サイバーセキュリティ法のような重要データの越境規制など、世界の様々な国でデータに関連した規制が強まることが予測され、その対策/対応コストが増加していくことが推測できる。また、産業別にみても 米国食品医薬品局(FDA)やフランス医薬品・保健製品安全庁(ANSM)といった規制当局が医療機器メーカーに対してサイバーセキュリティ対策を要求しており、今後、人命や生活基盤に関連する業界ではこのような傾向が続くと考えられ、これもコスト増加要因になると考えられる。今後、規制の動向に注目をし、罰則を受けないよう注意して頂きたい。


注釈


*1: 1 USD = 107.5円で計算


参考文献


[1]: IBM Security. “Cost of a Data Breach Report 2019”. https://www.ibm.com/downloads/cas/ZBZLY7KL
[2]: IBM. "IBMの調査により、情報漏えいコストの上昇傾向が明らかに;経済的影響は何年も持続". https://www-03.ibm.com/press/jp/ja/pressrelease/55241.wss
[3]: ITmedia News. "British AirwaysにGDPR侵害で約250億円の制裁金 個人情報流出で". https://www.itmedia.co.jp/news/articles/1907/09/news057.html
      

登録日時2019-09-25 20:35:25 +0900
更新日時2019-10-01 07:23:24 +0900