シマンテックは5月28日、Ponemon Instituteと共同で調査した「2011年情報漏洩のコストに関する調査:日本版」を発表した。企業の情報漏洩事件や事故のコストに関するベンチマークであり、日本での調査は今回が初めてになる。
調査結果によると、日本企業での漏洩や盗難のコストは“レコード”1件あたり平均で1万1011円。ここで言うレコードは、個人情報が漏洩した個人を識別する情報として定義している。企業の情報漏洩の全コスト平均は2億71万9847円としている。
情報漏洩発生後の顧客離れ率は平均して3.5%となっている。金融や医薬品などの特定の業種ではさらに顧客離れの影響を受けやすく、こうした業種での情報漏洩コストは平均よりも高いという。顧客のロイヤルティを維持し、評判やブランドの失墜を回復するための対策を取ることで情報漏洩コストを低下させることができると提唱している。
企業の40%が情報漏洩の根本原因は従業員の不注意と見ていることも明らかになっている。33%の企業は悪質な内部関係者や内部の犯罪者を原因に挙げており、27%の企業がITと業務プロセスの不備を原因に挙げている。これらの結果からシマンテックは、従業員の不注意や悪質な内部関係者やクラッカーからの脅威に対するプロセスやポリシー、技術を重視すべきとしている。
事業面での損失コストは平均で7505万7636円になるという。これらのコストは、業界や企業の平均よりも高い異常な顧客離れ、顧客獲得活動の増加、評判の失墜、業務上の信用低下に関連していると説明する。
情報漏洩の原因や特定の条件も全体的なコスト増加につながる場合があるとも分析している。今回の調査で対象となった企業の場合、第三者が引き起こした情報漏洩、初めての情報漏洩、端末の紛失や盗難の場合で平均して情報漏洩のコストが高くなっていることが分かっている。
情報漏洩の検出やエスカレーションのコストは平均6202万2906円としている。このコストは、企業が情報漏洩を検出し、どのようにして発生したのかを見極める活動に関連している。これが増加するということは、その企業が情報漏洩の検出と調査の能力を改善するために、どのようなプロセスや技術が必要かを評価しなければならないということを示唆している。
