データ侵害の真のコスト:コンプライアンス違反の罰則は氷山の一角

7月 21, 2019 セキュリティとコンプライアンス, MOVEit

以前もどこかに書きましたが、何度でも強調したいと思います。私たちはデータ侵害の時代に生きています。私たちの生活は、オンラインへのアクセスによって構築された膨大なデータセットによって定義されていると言っても過言ではありません。

2019年の今、データ漏洩/侵害があまりに普通のこととなってしまい、私たちの多くはそれに鈍感になりました。まったく何ということでしょうか、もうほとんど報道さえされません。たとえば、ボルチモアへの1ヵ月に及ぶランサムウェア攻撃は、国内ニュースのレーダーに引っ掛かりもしませんでした。

Identity Theft Resource Center によると、2018年には、1,200件を超える重大なデータ侵害事件があり、合計の漏洩レコード数は446,515,334に達しました。

2018年のデータ侵害の平均被害額は、Ponemon Institute の調査では約390万ドルでした。この数も衝撃的だと思いますが、実際はデータ侵害のコストは、単に金銭的なものだけには限りません。

大規模なデータ侵害の全コストは簡単には算出できません。影響は、株価から消費者からの信用まで、多岐にわたる上、長期にわたって持続する可能性があります。たとえば、Equifax のブランドは、信頼を回復するのに(たとえ可能だとしても)長くかかりそうです。また、データ違反で失墜した信用を取り戻すためのプロセスにもコストがかかります。

このブログでは、金銭的なものもそれ以外のものも含め、データ侵害の主要なコストについて考察したいと思います。

株価:即座の直接的打撃

上場企業にとって、データ侵害の直接的で顕著なコストは、株価への打撃です。Comparitech のレポートによると、ウォール街のデータ侵害企業へのペナルティは、典型的には、侵害後数週間のうちに3%程度の株価下落の形で現れます。ただ、株価の下落は必ずしも持続はせず、NASDAQ 平均の場合、1ヵ月ほどで反発することが多いようです。

そうは言っても、期間の長さはどうあれ、3%の株価下落は企業の健全な成長への障害になり得ます。潜在的な投資家は投資を躊躇するかもしれませんし、企業の長期継続性について疑問符がつくかもしれません。

コンプライアンス違反への制裁金と訴訟費用

データ侵害を受けた企業は、その侵害で失われたデータに対して法的責任を負い、データ侵害に関して過失が認められた場合は、重大な金銭的不利益が生じます。コンプライアンス違反への制裁金はもちろんですが、それだけでなく、弁護士費用なども必要になります。たとえまったく過失を犯していないとしても、データ侵害が起きたことで法律の専門家からアドバイスを受ける必要があることもあり、相応な費用がかかります。

たとえば、EUの一般データ保護規則(General Data Protection Regulation、GDPR)は、最高2,000万ユーロ、または全世界の年間売上高の4パーセントのうち、いずれか大きい方の額の制裁金を科すことができます。

隠れたコスト:信用の失墜

上述のコストは比較的シンプルで定量化可能ですが、データ侵害には、ビジネスに長期的な悪影響を及ぼす可能性のあるより深刻なコストとして、信用の失墜があります。

データ侵害が発生すると、一定の割合で必ず侵害された企業との取引きに不安を感じるようになる顧客がいるものです。Gemalto の調査では、実際、財務データや機密データが盗まれた企業とは取引しないと思うと考える消費者は、64%に上りました。顧客を失えば、収益の悪化は一時的なものではなく長く響きます。新規顧客の開拓にも大きなコストがかかります。

さらに、データ侵害が広く知られて会社のブランドに傷がつけば、新規顧客の獲得そのものがより困難になる可能性があります。

予防は何よりの投資

では、このような莫大なコストを避けるための最善策は何でしょうか?簡単です。データ侵害されないことです。言うは易く行うは難し、でしょうか?ただ、言えることは、侵入防止、社員への教育、転送中と保存中のデータ暗号化、監視システムの改善など、データ侵害を未然に防ぐための投資は価値の高い投資だということです。無駄な出費のように見えるかもしれませんが、データ侵害の被害に遭ってからのコストは、比較にならないほど高くつきます。

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.