数億円!? サイバー攻撃を受けたら｢損害額｣は一体いくらになる？ ランサムウェア感染が発覚してからの“リアルな経過”とは

その結果はおよそ300万～400万円が標準的で、大規模な被害を受けたときは調査対象となる端末数が増加するため、数千万円や億単位の金額になるケースも散見される。

セキュリティベンダーへの依頼と並行して必要になるのが、経営陣へのエスカレーションや関係各方面への報告・連絡・相談である。個人情報の漏洩が発生した場合、個人情報保護法等の法令を勘案した対応も必要となる。そのため弁護士への相談が必要となるのが通例で、ここでも数十万円の費用がかかる。

調査の結果、個人情報漏洩などの被害が明らかになった場合は経緯や現状、今後の対応等を記載したお詫び文を作成して自社ウェブサイトに掲載し広報するほか、メールやショートメッセージで各個人に送信し、メールアドレスや電話番号がわからなければ郵送する。SMSや郵便は当然費用が発生するが、メールであっても連絡先が大量となると外部の業者に委託する必要が生じ、その場合の費用もかかる。

さらに公表した後、問い合わせに対応するためにコールセンターの設置が必要になる。ここは個人情報漏洩事案で最も費用がかかるところで、数百万円かかるのは当たり前。漏洩の規模が大きいと数千万円規模に費用は増加する。一方、情報システムが消失や改ざん、損傷した場合は、復旧のための費用が必要になる。

「コーポレートサイトがやられてしまったので作り直す、といった話になると数百万円くらいかかります。社内の基幹システムがやられた、といった場合は規模にもよりますが数千万円程度になり、しかも復旧までに半年かかるケースもあります」（三国氏）

システム復旧した後に必要になるのが再発防止費用である。これにどこまでかけるかはその会社次第であり、予算の範囲内ということになろう。

生産停止になれば日商×停止日数の売り上げが減少

ランサムウェア感染等による個人情報漏洩を伴うインシデントでは、ここまででも数千万円単位の費用が発生してもおかしくないが、損害はそれだけにとどまらないという。