|
<データ違反に伴うコストについて>
『データ違反』という言葉は、企業または顧客の貴重なデータを盗むために、企業のファイヤウォールやその他のセキュリティー手段を外部から侵入する、悪意あるハッカーというイメージを想像させる。しかし、実際には、過失にせよ、会社に損害を与えるために計画された意図的なものにせよ、データ違反は企業内部で多く起こりやすいものである。
ただ、企業のセキュリティー上の問題について言えば外部ハッカーからの脅威が減少したわけでも割合が減ったわけでもない。事実、悪意あるウイルス、ワーム、マルウェア、その他のハッカーツールは、企業にとって問題事項であり、ビジネスコンティニュイティーや稼働時間の背後に潜む脅威であることに変わりはない。
しかし実際のデータロスに関して言えば、過失にせよ故意にせよ、顧客または責任者への通知が必要とされるデータに対する違反は、企業内で発生することが多い。
「外部からの違反は、非常に大規模なオペレーションの中でITインフラの確保を怠った、といったケースを除き、そう頻繁に起こるものではありません。」と、Darwin
Professional Underwriters, Inc. の企業におけるリスクマネジメント情報を提供するAdam Sills氏は言う。「人々が今抱える懸念は、ノートブックコンピュータをホテルフロントに置き忘れるとか、社員の不正な情報の持ち出し、単純な情報の取り扱いミスといった不注意に焦点が置かれています。」
違反が社内で起ころうと、外部からの悪意のある攻撃によるものであろうと企業にとっては違反から生じたコストの増加が共通している。そして、そのコストは経済面だけにとどまらない。それらコストには、周りに対する評判の低下、違反による影響からその対応に追われることを原因とした社員の生産性の低下、業界における信頼性の低下が含まれる。
しかし、データ違反の際に発生する経済コストの中で、ここでは特に、データ違反や安全対策の取られていないデータ紛失の際に企業が予期すべきコストについて言及する。
<コスト検討>
発生するコストの中で、データ紛失を顧客に通知する際に必要となるものがある。米国の連邦政府および米国規制では、企業は、直ちに通常郵便及び可能であれば電子メールで違反によって個人情報の漏洩があったと思われるすべての顧客に通知することが義務付けられている。影響を受けた顧客数によっては、これは大きな費用がかかるであろう。また、この費用は、違反の結果支払われなければならない定められた全ての連邦および州のコストの中で、一部分的なものである。
顧客に通知がされると、被害に対して法的手段を取る顧客や、問題解決のための弁護費用などで、データ違反は直ちに訴訟費用を発生させることになる。
すべての通知や訴訟費用に対するコストが算出される一方で、データ違反に対する内部調査や、その結果生じた問題が適切に対応されるまで施行される危機管理に関連したコストが発生する。危機管理チームは、他のプロジェクトに従事する社内の人材もしくは、第3者機関の危機管理サービスプロバイダーで構成することも可能である。どちらにしてもコストが発生する。
「データ違反のために企業が被るコストは非常に高額になり得ます。」Sills氏はいう。「州、連邦、業界レベルにおける法規制コンプライアンスは、データ違反が発生すれば、気の遠くなるような現実問題に直面するよう設定されています。以前まで、企業はデータ違反に対して比較的静かに対応することができましたが、今では、マイナーなデータ違反であろうと企業は桁外れなコストを支出することになります。」
こうしたさまざまなコストが支出されることは、その状況に関心を引くメディアがいること意味する。本来なら制御可能なデータ違反も、素早く大惨事の事態に発展し、ニュースワイヤーでニュースになることもある。メディアの中で、どのくらいの期間に渡り、どの程度そのストーリーが取り上げられるかによって、危機管理、調査、訴訟費用は急増する。
<コスト計算>
上記すべてのコストを検討することは可能ではあるが、そのコストを実際に支出することとは、全くの別問題である。規制に対する罰金を支払う、というような項目は比較的明確な数字が出せるが、訴訟費用や、危機管理、調査、通知に掛かるコストなどは、データ違反の重症度により変動するため難しい。
「すべてのデータ違反状況は、それぞれのケースにより全く状況が違います。」Sills氏はいう。「従ってデータ違反に関して自信を持って言えることは、何かしらの費用が掛かる、ということで、費用額や内容を見積もるのは推測ゲームのようなものです。」
データ違反の潜在的コストを算出しようとする企業のために、技術の損害賠償保険を提供するDarwin Professional
Underwriters, Inc.は、近年、データ違反によるコスト計算機の作成を試み、興味のある企業または個人に無償で提供されている。Tech//404
Data Loss Cost計算機と名づけられ、データ違反および個人情報の盗難に付随したコスト影響を割り当てる、とても簡単かつインタラクティブなツールを企業に提供する。このツールは、Tech//404
Data Loss Cost計算機Webサイトからアクセスが可能だ。
「この計算機で目指したのは、可能な限り、数字が検証可能であることです。将来の予測や仮説に基づいたものではありません。」Darwinのマーケティングコミュニケーションの部長補佐であるDrake
Manning氏は言う。「私たちは、Ponemon Instituteの2006自己評価セキュリティー違反調査を含むいくつかのソースの使用や、すでに起こっている様々な違反シナリオを考慮に入れることで作成を行いました。また、非現実的な数字を出すことは避けようと
現実のコストに近づける努力をしました。」
このような計算機が概算の数字を出すものであっても、データ違反から生まれる多費用を明らかにする助けとなるであろう。拡大するデータストレージや法規制コンプライアンスの時代においては、特に、このような意識は重要である。Manning氏によると、企業は、「データ違反の潜在的コストに関する最新情報を持つことの重要性」を強く意識していることがわかった。
「今日付けで、この計算機を発表してから約3週間経ちますが、発表前のサイト訪問者の平均と比較して、1800パーセント以上の訪問者が増えたことがわかりました。」 |
