シマンテックとPonemon Instituteは5月28日、「2011年情報漏えいのコストに関する調査:日本版」を発表した。これは、日本を本拠地とする企業の情報漏えい事件・事故のコストに関するベンチマーク調査で、日本で本調査が実施されたのは、今回が初となる。

Ponemon Instituteによる「情報漏えいのコスト」に関する年次レポートは、9つの業種、計15社の日本企業における実際の情報漏えい経験を基にしており、分析では、検出、エスカレーション(上申)、通知、事後対応等に伴う経費など、広範なビジネスコストを考慮している。また、顧客離れや解約率によって評価される顧客の信頼や信用の喪失または低下が経済的に与える影響についても明らかにしている。

それによれば、日本企業における漏えいまたは盗難のコストは、レコード1件あたり11,011円で、2011年の情報漏えいに関する全コストの平均は2億71万9,847円だった。

情報漏えい発生後、日本企業の顧客離れ率は平均して3.5%だが、金融サービス、医薬品、技術等の特定の業種はさらに顧客離れの影響を受けやすく、こうした業種での情報漏えいのコストは平均よりも高くなっている。情報漏えいのコストを低下させるには、顧客ロイヤリティを維持し、評判やブランドの失墜を回復するための対策をとる必要がある。

事業面での損失コストは平均7,505万7,636円で、これらのコストは異常な顧客離れ(業界または企業の平均的な顧客離れよりも高率)、顧客獲得活動の増加、評判の失墜、業務上の信用の低下に関連する。

また、企業の40%が、情報漏えいの根本原因は不注意によるもので、33%の企業が悪質な内部関係者または内部の犯罪者を原因に挙げ、27%の企業がITとビジネスプロセスの不備を原因に挙げている。したがって、企業は従業員の不注意や悪質な内部者またはハッカーからの脅威に対処するプロセス、ポリシー、技術を重視する必要がある。

なお、シマンテックでは、「Data Breach Risk Calculator」という企業のリスクを分析することができるツールを公開している。このリスク評価モデルでは、7年間の傾向データに基づき、企業の規模、業種、所在地、セキュリティプラクティスを考慮して、レコード1件あたりと企業ベースの両方で情報漏えいのコストを見積ることができる。同ツールは、http://www.databreachcalculator.com/でダウンロード可能。