東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

計算式で出した損失予想

ALE法にのっとり、個人情報漏えいが発生した場合の想定被害金額を試算してみましょう。

企業プロファイル(想定)

想定する企業は、ECサイトで販売をおこなう事業者です。個人情報は分散されたサーバに保管しており、約5万人の個人情報を保有しています。毎年ヒヤリハットの統計をしており、セキュリティ事故の可能性は約10年に1回程度となっています。サーバが分割されているので、基本的には全ての情報が流出するとは考えておらず、1回の被害で全体の40%程度と想定しています。

セキュリティ事故に伴う費用の換算

セキュリティ事故が発生した際にかかる費用は1回の事故で以下のように考えています。

項目 費用(想定)
業務継続費用 対策組織業務に係る人件費(1か月分) 500万円
損害賠償費用(訴訟参加費=0.1%) 36万円
弁護士費用・裁判費用 30万円
見舞い品費用 見舞い品代+送料他(2万人分) 1400万円
謝罪訪問費 謝罪訪問に掛かる費用(10人分) 110万円
広報費用 謝罪広告費 なし
情報公開ページ作成費用(2回) 10万円
臨時的な対策費用 コールセンター設置費用(1ヶ月分) 500万円
問い合わせ窓口常駐人員(1ヶ月分) 200万円
合計 2786万円

出典:JNSA
「発生確率調査と2010年個人情報漏えい調査の報告」をもとに作成
https://www.jnsa.org/seminar/2011/0608/data/1C_incident.pdf

被害損額の算出の計算

流出人数: 50000 × 0.4 = 20000人

SLE:事故1回あたり対応費用 = 2786万円

ARO:1 ÷ 10 = 10%(1年間の発生確率)

ALE: 2786万円 ×10% = 278.6万円

対策費用等の検討

ALEの算出結果として278.6万円という結果が出ました。1年間の個人情報流出にかかわるセキュリティ対策の金額の基準といえます、278.6万円を下回る対策が立てられれば投資対効果として優れていると言えます。また、もしこの金額を対策費として大きく超えるようならば、リスク回避の検討も対策の一つといえます。