米IBMはこのほど、同社がスポンサーとして出資するPonemon Instituteが「データ漏えいコストに関する調査報告書:世界分析(Cost of Data Breach Study: Global Analysis)」を公開したと発表した。報告によると、11カ国350社へのベンチマーク調査報告書では、データ漏えいの連結コストの平均額は380万ドルで、2013年から23%増加した。

情報漏えい1件当たりに発生する平均コスト(3年間の比較)。対象は2015年が350社、2014年が315社、2013年が277社

Ponemon Instituteのデータ漏えいコスト調査は、米国で10年前から実施されている。調査は、現場ベースの調査手法と活動基準コストのフレームワークを活用して企業で集められた数百の間接、直接のコストカテゴリーの実データに基づいており、この手法は11カ国で過去10年間にわたり、重要なデータ漏えいを経験した1600社以上の解析により実証されている。

2015年版の報告書は、データ漏えいの財務結果に関する詳細な情報が含まれているのが特徴だという。取り扱い注意対象のデータや保護/機密データが紛失あるいは盗まれ、データ漏えいが発生し危険にさらされたケースを調査している。調査は、Ponemon Instituteが11カ国の350団体を代表するIT、コンプライアンスおよび情報セキュリティーの担当者1,500名以上にインタビューを実施した。

報告書のサマリーでは、取り扱いに注意を要する機密情報が含まれる記録の紛失や盗難に対して発生した平均コストが連結平均の145ドルから154ドルと6%増加。医療業界は、盗難記録1件あたりのコストが最も高く、企業の平均コストは363ドルに達した。さらに、小売業の盗難記録1件あたりの平均コストは昨年の105ドルから165ドルと大きく増加した。

調査結果を受け、以下のようにポイントをまとめている。

役員レベルの参画と保険加入がデータ漏えいのコストを低減できる

今回の調査で初めて、企業がデータ漏えいの被害に遭遇した際に、役員がより積極的な役割を担う必要ががあるという結果が出た。役員の参画により1件あたりのコストは5.5ドル削減され、保険による保護は、1件あたり4.4ドルのコスト削減になる。

データ漏えいコストにおいて事業継続マネジメントが重要な役割を担う

漏えいの修復に関わる事業継続マネジメントが、損傷した記録1件あたり平均7.1ドルのコストを削減することがわかった。

最もコストがかかる漏えいは引き続き米国とドイツで発生している

損傷した記録1件あたり米国では217ドル、ドイツでは211ドルコストが発生していることがわかった。一方でインドとブラジルが最も少なく、それぞれのコストは56ドルと78ドルであった。

データ漏えいコストは業界で異なる

紛失または盗難された記録1件あたりのデータ漏えいの世界平均コストは154ドル。医療業界がデータ漏えいに遭った場合、平均コストは363ドルに上り、教育業界では平均コストが300ドル。最も低いのは、運輸業界(121ドル)と公共部門(68ドル)。

ハッカーと社内犯罪者が最もデータ漏えいを引き起こす

漏えい全体の47%が意図的、あるいは犯罪的な攻撃により引き起こされていることがわかった。こうした攻撃を解決するために必要な1件あたりの平均コストは170ドル。一方、システム異常は1件あたり142ドル、人為的エラーまたは不注意によるコストは1件あたり137ドル。米国とドイツは、意図的、犯罪的な攻撃の解決に最もコストをかけている(それぞれ230ドルと224ドル)。

通知に関するコストは低迷、営業損失に関連するコストは着実に増加

営業損失に関わるコストは、顧客への信用を挽回する活動を行う必要があり急激に増加している。平均コストは2013年の123万ドルから2015年は157万ドルに増加している。一方、漏えいの事実を顧客に通知するコストは昨年の19万ドルから17万ドルに低下した。

データ漏えいを検知し抑止する時間はコストに影響する

今回の調査で初めて、組織がデータ漏えい事故を検知し抑止する時間と売上損失の影響との関係が明らかとなった。人為的エラーによる漏えいの識別に平均158日要する一方、悪意ある攻撃の識別には平均256日かかる。

このほか、企業が24カ月以内に1回以上データ漏えいに遭遇する可能性を調査した。その結果、ブラジルおよびフランスの企業は、最低でも1万件の記録が漏えいする可能性が高いという結果が出たという。すべての場合において、企業は10万件以上の大量のデータ漏えいよりも1万件以下の漏えいに遭遇する可能性があると指摘している。