3)法務・広報対応の費用
個人情報の漏洩が起きると、弁護士への相談、監督官庁への報告、プレスリリースの作成、記者会見の準備と、法務・広報の両面で対応が必要になります。多くの場合、社内だけでは手が回らず、外部の専門家への委託費用が発生します。
自社が踏み台→損害賠償を請求されるケースも
4)顧客・取引先対応のコスト
被害を受けた顧客や取引先への個別連絡、問い合わせ対応のためのコールセンター設置、場合によってはお詫び金の支払いなど、漏洩した個人情報の件数が多いほど、この費用は膨らみます。数万件規模の漏洩であれば、コールセンターの運営費だけで月に数千万円が見込まれます。
加えて、自社が攻撃の踏み台となって取引先のシステム停止やデータ漏洩を引き起こした場合、第三者から損害賠償を請求されるケースがあります。
例えば2014年1月の東京地裁判決では、SQLインジェクション対策を怠ったシステム開発会社が、委託元のECサイト運営会社から約1億円の損害賠償を請求され、約2262万円の支払いを命じられています。
漏洩規模や責任の重さによっては請求額が億単位に膨らむ事案で、コールセンター費用と賠償金は性質が違うため、賠償が想定される業態では別建てで上乗せして見積もるのが安全です。
5)信用毀損による中長期の損失
5つの中で最も見積もりが難しく、最も尾を引くのがこの要素です。取引先からの契約見直し、顧客離れ、採用活動への悪影響、株価の下落など、事故後も数カ月から数年にわたって影響が続きます。
「見積もりが難しい」と聞くと諦めたくなりますが、以下の3つの方法で見当をつけることができます。
1. (BtoB企業の場合)自社の上位顧客5社程度の年間取引額の何割が消失する前提か、を仮置きする
2. (上場企業の場合)過去にインシデントを起こした同業他社の株価下落率を参考にする
3. (中小企業の場合)メインバンクからの借入条件の変化を金額換算する
とくに3つ目の借入条件の変化は、中小企業にとって日々の経営に直結する数字です。インシデント後に金利が0.5%上がるだけで、借入残高によっては年間数百万円のコスト増になることもあります。
3つのアプローチは排他的ではないので、自社が「BtoBで上場している中堅企業」なら3つ全部を重ねて使う、といった当てはめ方もできます。
次ページが続きます:
【「被害額」と「投資額」を並べて見る習慣をつける】
