データ不足が投資のかせに

 このような状況では、企業が積極的なセキュリティー投資に踏み切れないでいるのは仕方がない面もある。しかし、十分な対策をしなければ、その企業のみならず、関連企業や社会全体に負の影響を与えてしまうこともある。

 セキュリティー対策に関する組織の投資行動などを経済学の視点から分析するのが「セキュリティー・エコノミクス(経済学)」だ。その研究内容の一つに、セキュリティーインシデントの被害額を見積もり、投資水準を知るという試みがある。つまり、被害額から投資額の上限を測るという考え方だ。

 例えば独立行政法人の情報処理推進機構は、労働や資本の投入量と売上高やGDP(国内総生産)などの関係を捉えた「生産関数」という伝統的な経済学的な枠組みを用いて、セキュリティーインシデントで発生する労働時間や逸失売上高などの損失額を試算している。

 また、NPO法人の日本ネットワークセキュリティ協会は情報漏洩によって生じる損害賠償額の算出モデルを考案している。

 ただし、いずれのモデルにおいても精緻化のために必要なデータが十分そろっていない。セキュリティーインシデントの詳しい情報や対策に関する情報を企業は出したがらないからだ。

 また、いずれも機密情報の流出による信用低下といった2次的被害を考慮していないため、算出した金額は実際より少ない可能性がある。図1(「情報セキュリティー事件の被害額」)のグラフのような経済産業省による被害実態調査もあるが、この被害額は氷山の一角と考えるべきだ。

被害額を正確に推計できているか
●情報セキュリティー事件の被害額
被害額を正確に推計できているか<br/><span>●情報セキュリティー事件の被害額</span>
(図1)出所:情報処理実態調査
[画像のクリックで拡大表示]

この記事は会員登録で続きをご覧いただけます

残り1266文字 / 全文文字

日経ビジネス電子版有料会員なら

人気コラム、特集…すべての記事が読み放題

ウェビナー日経ビジネスLIVEにも参加し放題

バックナンバー11年分が読み放題

登録会員(無料会員)と有料会員の違い

この記事はシリーズ「気鋭の経済論点」に収容されています。WATCHすると、トップページやマイページで新たな記事の配信が確認できるほか、スマートフォン向けアプリでも記事更新の通知を受け取ることができます。