個人情報流出で危険にさらされるのは情報を保護されなかった「個人」だけではない。企業も様々な金銭的損失を被るし、経営者は流出した情報の規模によっては経営責任を問われる。また、最近では、企業の金銭的損失について経営者が株主代表訴訟によって損害賠償責任を追及されるリスクも大きくなってきた。いわゆる「善良なる管理者義務違反」である。

いったいどのくらいの損害が出るのか。ちょうど良い計算方法が公開された。一般社団法人日本サイバーセキュリティ・イノベーション委員会（JCIC）のサイバー攻撃による損失額を算出する計算式「サイバーリスクの指標モデル」である。

JCICのホームページには、個人情報流出だけではなく、ランサムウェアやビジネスメール詐欺などの世界での事故例や損害額などが整理してまとめられている。それによると、「サイバー犯罪が世界経済に与える損失額は2014年に約47兆円だったが、2017年には3割増の約63兆円に増加したとされる」とし、日本でも「年間1兆円前後の経済損失が発生している」と考えられるという。大変な損害が発生している。

情報流出そのもので盗み取られた経済価値だけではない。情報流出を防げなかった、という「評判」「評価」が企業にダメージを与える。JCICの調査では、日本企業で情報流出等の適時開示を行った企業では株価が平均10%下落し、純利益が平均21%減少したという。その結果、経営者が責任を追及され、報酬の返上などに至るケースも目立っている。

にもかかわらず、日本の経営者の危機意識はまだ希薄である。サイバー攻撃の予防を取締役レベルで議論すべきか、という問いに「非常にそう思う」と答えた割合は日本の経営者でわずか「18%」に過ぎず、同様の質問での海外の「56%」を大きく下回っている。

そこで、経営者に適切な危機意識を醸成してもらうために、JCICでは数値的な指標を計算できる簡略式を提示した、という。

詳細はJCICのページを参照してもらいたいが、おおまかに言うと「直接被害」「間接被害」に分けて試算、「直接被害」には「個人情報流出による金銭被害」「ビジネス停止による機会損失」「法令違反による制裁金」「事故対応費用」、「間接被害」には「純利益への影響」「時価総額への影響」があげられている。

年商1000億円企業では順に「80億円」「5営業日当たり20億円」「40億円」「0.6億円」（以上直接被害）、「10.5億円」「300億円」（以上間接被害）となっていて、それぞれに算出根拠の式が掲載されている。

また、セキュリティ対応の業界水準レベルを満たすためのセキュリティ投資額の試算も掲載されている。

セキュリティ投資はそれ自身で利益を生まないために経営者の投資意欲は低いが、リスクの大きさに比べれば投資額はわずかなものである。この指標を参考に、経営者は重い腰を上げてセキュリティ投資に向かってもらいたい。

ZENMUから始まる未来は、こちら