大企業の情報漏えいが発生すると、その余波はさまざまなところへ及ぶ。
企業幹部は謝罪を行い、被害者に対して無料でクレジットモニタリングサービスを提供すると表明せざるをえなくなる。従業員は解雇される可能性もあり、サイバーセキュリティチームは駆り出され、システムを修復する必要も出てくる。司法当局への通報も必要になるし、規制当局や消費者からの質問にも答えなくてはならない。
訴訟が起きることも多い。規制当局から訴えられる場合もあれば、被害者を代表して行う集団代表訴訟が起きる場合もある。
IBMの調査によれば、情報漏えいで発生する費用は平均329万ドル(約4億2700万円)であり、この費用は過去5年間で12%上昇したという。
規制当局から科される罰則や、損害賠償請求、サイバーフォレンジックやシステムのオーバーホールにかかる費用ものしかかる。しかし被害企業は、それ以上にデータ漏えいが株価に与える影響に悩まされるかもしれない。
株価の下落は投資家の信頼を失ったことを示している可能性がある。特に、必要な配慮が欠けていたり、セキュリティ対策を怠っていたりしたことが明らかになった場合には、サイバーセキュリティインシデントによって株価が大きく損なわれる場合がある。
Comparitechは、株式市場が情報漏えいが発生した大企業にどのように反応するかをまとめた最新の調査結果を発表している。
同社は、ニューヨーク証券取引所(NYSE)に上場されている28社の株価の終値を調査し、情報漏えいが公表された前日の株価を基点として、その後何が起こったかを分析した。
多くの調査対象企業では、100万件以上の記録が漏えいした情報漏えいインシデントが発生しており、中には被害に複数回遭っている企業もあった。分析されたセキュリティインシデントは全部で33件だった。
調査チームによれば、情報漏えいを公表した企業の平均株価は7.27%下落するが、その影響の全貌は14営業日以上経過するまで明らかにならない場合があるという。パフォーマンスはNASDAQを約4.8%下回った。
被害企業のパフォーマンスは、公表から12カ月経過しても悪化したままだ。調査対象企業の平均株価は8.38%上昇したが、NASDAQと比較した場合、パフォーマンスは6.49%下回った。公表から2年後には、株価は約12.78%上昇しているものの、パフォーマンスはやはりNASDAQを12.88%下回っている。
3年後には株価は32.53%上昇したが、パフォーマンスは13.27%低かった。
これは、短期的には株価は戻るかもしれないが、被害企業は依然として経営状態の悪化に苦しんでいるということだ。
Comparitechは、今回の調査では3年分のデータを得られる企業だけを対象としたため、標本数が少なく、結果に偏りがある可能性があると述べている。
また同社は、「情報漏えい疲れ」が発生している可能性があると指摘している。市場は古い情報漏えいほど大きく反応している傾向があるが、これは、最近では投資家が頻繁に起こる情報漏えいに慣れてしまい、あまり強く反応しなくなっている可能性があることを意味しているという。
いずれにせよ、企業の価値はもはや事業規模や投資額、製品ポートフォリオ、サービスだけで決定されるものではなくなった。現代の企業では、(現在と過去の両方の)サイバーセキュリティに対する姿勢も、財務状態に影響を与える重要な要因となっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
