シマンテックと米調査会社大手のPonemon Instituteは2012年5月28日、2011年の国内企業の情報漏えいにかかわった費用が平均で2億71万9847円だったとの調査結果を発表した。主な原因は従業員の不注意で4割に達し、被害者に対して早急に通知する方が最終的な費用を削減できるとしている。
「2011年情報漏えいのコストに関する調査:日本版」で、同種の調査は国内では初めてという。9業種、計15社の企業の実際の情報漏えいの経験を基に分析した。個人情報漏えい・盗難した企業に発生する費用は被害者1人当たり1万1011円で、原因は「不注意」が40%でトップ。次いで「内部の犯罪者」が33%、「ITとビジネスプロセスの不備」が27%だった。
事業面での損失額は平均7505万7636円。顧客離れ、顧客獲得活動の増加、評判の失墜、業務上の信用の低下などによってもたらされる。情報漏えい発生後の顧客離れ率は、平均3.5%に達する。
情報漏えいから30日以内に被害者に通知する企業は被害者1人当たり平均3999円を削減できる可能性があり、企業内に情報保護の全責任を担うCISO(最高情報セキュリティ責任者)がいる場合は同2185円軽減できる可能性があるという。
シマンテックは情報保護の対策として次のことを推奨している。「機密情報を識別、分類してリスク評価」「情報保護のポリシーと手順の従業員教育」「二要素認証の導入」「ノートPC上のデータの事前暗号化とデバイスの紛失による被害の最小化」など。
