はじめに
経済産業省は、11月16日、工場システムにおける
サイバーフィジカル・セキュリティ対策ガイドラインVer1.0を策定したことを発表しました。同ガイドラインは、昨今のIoT化の流れを受け、これまでネットワークへの接続に乏しかった工場においてもネットワーク接続機会が増加し、サイバー攻撃リスクが増加するという想定等から策定されたものになります。
サイバー攻撃増加の原因はIoT化に限られず、世界的な政情不安も一因となりえます。例えば9月には、ロシアのハッカー集団「キルネット」が日本政府運営の行政情報サイトe-Govを攻撃したほか、東京メトロや大阪メトロ、JCBのサイトなどにもサイバー攻撃を仕掛け、一時サイトが閲覧できない状態にしました。
このように、一般企業がサイバー攻撃の被害に遭うリスクは着実に高まっていると言えます。そこで、本記事では、日本ネットワークセキュリティ協会(JNSA)が2021年8月に発表した「
インシデント損害額調査レポート2021」を元に、法務として想定すべきインシデント発生時の損害リスクについてご紹介します。
インシデント損害調査レポートとは
JNSAが昨年発表したインシデント損害調査レポート(以下、「JNSAレポート」)は、サイバー攻撃によるインシデント発生時に実際に企業に生じるコスト(損害額)を各事業者への調査により明らかにしレポート化したものです。もともと、経営者が読むことを想定して公表されたものですが、個人情報や秘密情報に関する業務を取り扱うことの多い法務パーソンにとっても有用な内容と言えます。
JNSAレポートが定義する“インシデント”
JNSAレポートでは、“インシデント”を「偶発的であるか意図的であるかは問わず、システム、ネットワーク等の正常な運用・利用が阻害される事象・状態、不具合が生じる事象全般」を定義しています。具体例としては以下が挙げられています。
・マルウェア感染(使用するデバイスが悪意あるソフトウェアや悪質なコードに汚染されること)
・DoS攻撃/DDoS攻撃(ネットワーク等に過剰な負荷をかけ、サービスの提供を阻害する攻撃)
・ウェブサイトの改ざん
・従業員の情報持ち出し
・自然災害等によるデバイスの損壊
・デバイスの故障
・電子メール、FAX、郵便物の誤送信・誤発送
・○PCの紛失、USBメモリなどの記録媒体の紛失
インシデント発生時の損害
インシデント発生時は、費用損害・賠償損害・利益損害・金銭損害・行政損害・無形損害の6種類の損害が生じるとされています。今回は、そのうち、費用損害と賠償損害についてご紹介します。他の損害の詳細については、
JNSAレポートをご参照ください。
1.費用損害(事故対応損害)
インシデント発生から収束に向けた初動対応や調査、対外的対応、復旧および再発防止等に関して自社で直接、費用を負担することにより被る損害をいいます。主な内訳は以下のとおりです。
(1)事故原因・被害範囲調査費用
調査の対象が、PCとサーバー数台程度であれば、初動対応およびフォレンジック調査を合わせ、概ね300~400万円程度。ただし、調査体調の端末数が増加した場合(マルウェア感染事例等)には数千万円にのぼるケースも。
(2)対外的対応
①対外的発信に関するコンサルティング費用
インシデントに関する対外的発信を行うにあたり、謝罪時期や謝罪文の内容につき、危機管理・メディア対応を行う専門業者へコンサルティングを依頼することが想定されます。費用は概ね数十万円程度。
②法律相談費用
法律事務所への依頼内容としては、関係者に対する各種対応策の策定にはじまり、訴訟対応・紛争対応、個人情報保護委員会への報告、各国法制度に即した報告などが考えられます。費用は、情報漏えいなど各種対応を依頼する場合、数十万円程度。各国法制度に即した報告なども含めて依頼する場合には、数百万円以上とされています。
③お詫び文等のDM発送・新聞広告掲載等
DM発送に関しては、ハガキ1通あたり80円前後、封書の場合100~200円ほど(1000通を発送した想定)。新聞広告は全国紙240万円ほど、地方紙50万円前後。
④コールセンターの設置
被害者や企業の顧客その他の第三者からの問い合わせに対応するため、電話による受付体制を整備する必要があります。費用としては、600~1,000万円程度とされています。
※コールセンター事業者に外注したうえで、3ヶ月の対応実施、初月はオペレーター3席、2か月目以降は1席とした場合を想定。(オペレーター1席あたり120~200万円/月)
⑥見舞金・見舞品購入
お詫びの一環として、500円ほどのプリペイドカードなど、見舞金・見舞品を送付するケースがあります。その場合、1枚当たりの額面に加えて手数料と印刷料・送料等を考慮する必要あります。結果、費用としては、1枚あたり650円程度になるとされています。(500円のプリペイドカードを送付する場合を想定)
⑦被害範囲調査費用
インシデント発生時は、漏えいした個人情報や秘密情報等がダークウェブ(一般的なウェブブラウザでは閲覧不能な匿名性の高いネットワーク上に構築されたサイト群)に流通していないか、ダークウェブ調査会社に調査を依頼することも考えられます。その費用は概ね次のとおりとなるとのことです。
・スポット検索調査(3か月):500~1,000万円
・年間調査:1,500~4,000万円
・認証情報(ユーザIDなど)の情報流出調査:1,000~5,000万円
(3)復旧および再発防止
①システム復旧費用
インシデント発生により、情報システムが何かしらのダメージを負った場合、これを復旧するための対応・コストが必要となります。費用としては、データ復旧がHDD等のメディア1つ当たり数万~数十万円(損傷したメディアからのデータの修復・サルベージを想定)、ハードウェア復旧もHDD等のメディア1つ当たり数万~数十万円ほど(HDD等の大容量メディアの物理的損傷を想定)となります。
②再発防止費用
インシデントの収束に向けて、有効な再発防止策を策定し、セキュリティ対策の強化に役立つサービスや製品・教育などの導入を行う必要があります。
・ウイルス対策ソフトおよびメールフィルタリングソフト導入:1ライセンスあたり年間数百~数千円
・セキュリティオペレーション事業者による、セキュリティ組織・体制の再編:初期費用および年間費用で数十万~数百万円
・セキュリティベンダーによる、従業員セキュリティ教育サービスの導入:1ライセンスあたり数百~数千円程度
2.賠償損害
情報漏えい事案など、第三者から損害賠償請請求された場合の賠償金や弁護士報酬等の負担により被る損害をいいます。
(1)損害賠償金
①個人情報漏えい事案(自社管理の個人情報の漏えい)
JNSAの調査によると、2016年~18年の3年間における、1人あたり平均想定損害賠償額が28,308円。したがって、「2,8308円×漏えい人数」が見込める最大損害賠償額。
※なお、集団訴訟となった場合、過去の事例での訴訟参加率は、全被害者のうち約0.03%。
②個人情報漏えい事案(他社から管理委託を受けた個人情報の漏えい)
こうしたケースでは、上記1.で挙げた費用損害が求償という形で委託元企業から請求されます。金額としては、数千万~数億円といった額になることが想定されます。
③クレジットカード情報の漏えい事案
2020年に大手カード会社が行った調査によると、クレジットカード不正利用の被害額は平均で1枚あたり約10万円。これにクレジットカードの再発行手数料約1100円を加えた額が、被害者一人当たりの損害賠償額。
④他企業の機密情報の漏えい事案
漏えいした機密情報の価値により、数百万円から数百億円。
(2)弁護士費用その他
損害賠償額に応じ、以下の割合となることが多いとされています。
・300万円以下:着手金8%、成功報酬16%
・300万円超3,000万円以下:着手金5%+9万円、成功報酬10%+18万円
・3,000万円超3億円以下:着手金3%+69万円、成功報酬6%+138万円
・3億円超30億円以下:着手金2%+369万円、成功報酬4%+738万円
・30億円超:着手金・成功報酬ともに協議により決定
コメント
秘密保持契約の締結時や、個人情報関連の法務相談時など、法務パーソンがインシデント発生時のリスクの大きさを見積もる機会は少なくないと思います。その際に、損害の具体的な見積もり額を示すことで、現場担当者に対し、ご自身の意見の説得力を高められるのではないでしょうか。
JNSAが公表している
レポートでは、他にも、利益損害・金銭損害・行政損害・無形損害に関し興味深い記述が多数見受けられます。上述のように、ビジネス潮流の変化、世界情勢の不安定化により、インシデント発生の可能性は高まっている状況です。ぜひ、レポートを一読し、インシデント発生に備えてください。