計算式で出した損失予想
ALE法にのっとり、個人情報漏えいが発生した場合の想定被害金額を試算してみましょう。
企業プロファイル(想定)
想定する企業は、ECサイトで販売をおこなう事業者です。個人情報は分散されたサーバに保管しており、約5万人の個人情報を保有しています。毎年ヒヤリハットの統計をしており、セキュリティ事故の可能性は約10年に1回程度となっています。サーバが分割されているので、基本的には全ての情報が流出するとは考えておらず、1回の被害で全体の40%程度と想定しています。
セキュリティ事故に伴う費用の換算
セキュリティ事故が発生した際にかかる費用は1回の事故で以下のように考えています。
| 項目 | 費用(想定) | ||
|---|---|---|---|
| 業務継続費用 | 対策組織業務に係る人件費(1か月分) | 500万円 | |
| 損害賠償費用(訴訟参加費=0.1%) | 36万円 | ||
| 弁護士費用・裁判費用 | 30万円 | ||
| 見舞い品費用 | 見舞い品代+送料他(2万人分) | 1400万円 | |
| 謝罪訪問費 | 謝罪訪問に掛かる費用(10人分) | 110万円 | |
| 広報費用 | 謝罪広告費 | なし | |
| 情報公開ページ作成費用(2回) | 10万円 | ||
| 臨時的な対策費用 | コールセンター設置費用(1ヶ月分) | 500万円 | |
| 問い合わせ窓口常駐人員(1ヶ月分) | 200万円 | ||
| 合計 | 2786万円 | ||
出典:JNSA
「発生確率調査と2010年個人情報漏えい調査の報告」をもとに作成
https://www.jnsa.org/seminar/2011/0608/data/1C_incident.pdf
被害損額の算出の計算
流出人数: 50000 × 0.4 = 20000人
SLE:事故1回あたり対応費用 = 2786万円
ARO:1 ÷ 10 = 10%(1年間の発生確率)
ALE: 2786万円 ×10% = 278.6万円
対策費用等の検討
ALEの算出結果として278.6万円という結果が出ました。1年間の個人情報流出にかかわるセキュリティ対策の金額の基準といえます、278.6万円を下回る対策が立てられれば投資対効果として優れていると言えます。また、もしこの金額を対策費として大きく超えるようならば、リスク回避の検討も対策の一つといえます。