米メリーランド大学や国際通貨基金などで先行研究はある。しかし、これらのリスクモデルは保有する情報資産を棚卸しし、それぞれの価値を事前に評価しておく必要があるなど、サイバー対策で後れを取る日本企業が利用するにはややハードルが高い。そこで、日本の中小でもすぐリスク評価に取り組めるよう、5分でできる簡易なモデルを考案した。下の表がその概要だ。
●サイバーリスクの数値化モデル
項目 | 計算方法 | 年商50億円規模の小売企業の場合…… | |
---|---|---|---|
直接被害 | 個人情報漏洩による 金銭被害 | 500円×機微情報度× 本人特定容易度×社会的責任度×事後対応評価×顧客数 | 6億円 |
ビジネス停止による 機会損失 | 5営業日あたりECサイト売上高 | 0.5億円 | |
法令違反による 制裁金 | 全世界売上高×4% または2000万ユーロ(約26億円) | 26億円 | |
事故対応費用 | 6000万円程度が基準 | 0.6億円 | |
間接被害 | 純利益への影響 | 前期純利益×21% | 0.6億円 |
時価総額への影響 | 時価総額×10% | 20億円 |
まず「個人情報漏洩による金銭被害」。個人情報1件あたりの賠償額は500円が国内の相場だ。これを個人情報の基本価値とする。パスポート番号や口座番号など機微な情報が含まれる場合、氏名や住所など本人特定が容易な情報が含まれる場合は価値が上がる。企業の社会的地位(社会的責任度)や事後対応の巧拙(事後対応評価)により被害の大きさも変わり得るが、この評価が難しい企業は筆者が提唱する一般的な定数を利用すれば事足りる。

次に「ビジネス停止による機会損失」。昨年はファイルを暗号化して身代金を要求する「ランサムウエア」が流行し、長期間事業が停止することも頻繁にあった。世界の事例を検証した結果、筆者は停止期間を5日間としてリスクを算出することを提唱する。
「法令違反による制裁金」については今年5月、個人情報保護体制の不備に制裁金を科す一般データ保護規則(GDPR)が欧州で施行。最高で全世界売上高の4%の制裁金か2000万ユーロ(約26億円)の高い方を請求される。
「事故対応費用」は原因調査やデータの復旧などにかかる金額。自社での評価が難しければ、平均的な6000万円という金額で計算すればよい。
純利益は21%減少
以上の4項目が攻撃による直接被害だ。これらを包含し、さらに信用の損失など無形の被害まで定量化するため考案したのが間接被害の2項目だ。
セキュリティー事件の開示をした上場企業の純利益、株価の動向を調べたところ、発生年度にそれぞれ平均で21%、10%、前年度より減少したことが分かった。この数値を用いて、純利益と時価総額への影響を評価する。
このモデルで年商50億円、顧客数10万人、時価総額200億円の小売企業をリスク評価すると、直接被害が約33億円、間接被害が約21億円となる。精緻なリスクモデルに比べると被害額は大きめに算出されるが、自社が被り得る最大のリスクを即座に把握できることは意義がある。
こうした被害がどの程度の確率で起きるのか。厳密な算出は難しいが、情報処理推進機構の16年の調査が参考になる。日本では1年間で、26%の企業にサイバー攻撃の被害が発生している。ざっと年間4分の1の確率で自社が被害に遭うと考えると分かりやすい。
平均的な企業は年間2億円程度のサイバー投資を実施していることも、投資決定の参考にしてほしい。単純な対策以外にも、近年相次いで販売されているサイバー保険を利用する選択肢もある。こうした投資をしない判断もまた一つの選択肢ではあるが、いずれにしても、きっちりと自社のリスクが可視化されていることが大前提だ。
Powered by リゾーム?