Written by 田原 由子
マーケティング本部で、プロダクトに関する情報発信をしております。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報漏洩事故やサイバー攻撃は、かつてのように大企業だけではなく、今や中小企業でも起きており、どの企業にとっても大きな脅威となってます。セキュリティ対策は、どの企業にとっても必須の経営課題となっている一方で、中小企業でのセキュリティ対策の実施状況をみると、効果が見えづらいなどの理由から積極的なIT投資を行えず実施できていない企業が多いようです。
そこで今回の記事では、企業の経営者やシステム管理者が知るべきセキュリティリスクに対するコストを数値で示し、対策の必要性を実感していただけるような情報をお伝えしていきます。
中小企業のセキュリティ対策の実態
IPAの調査報告によると、情報セキュリティ対策の必要性を感じたきっかけで最も割合が高かったのは「法令(個人情報保護法等)の制定」でした。しかし、次に高かったのが「対策の必要性を感じたことがない」となっており、多くの中小企業がセキュリティ対策の投資に消極的という事実がアンケート結果からみられました。
※参照:IPA 2021年度中小企業における情報セキュリティ対策に関する実態調査― 調査報告書 -を基に作成
情報セキュリティ対策の必要性を感じない理由としては、「重要情報を保有していないため」の割合が最も高く、次いで「情報セキュリティ被害にあうと思わないため」という結果でした。
※参照:IPA 2021年度中小企業における情報セキュリティ対策に関する実態調査― 調査報告書 -を基に作成
しかし、実際にはどの企業でも「マイナンバーを含む従業員情報」、「顧客情報」、「取引先情報」、「取引先や顧客から預かった情報」などの重要情報を所有しており、万が一これらが流出したとなると顧客や取引先に影響が出て大きな被害を生むことになります。また、個人情報保護法で、流出の内容や規模によっては、個人情報保護委員会への報告が義務付けられています。
さらに、近年のサイバー攻撃では、セキュリティ対策が不十分な企業を攻撃の踏み台にして大企業へ攻撃するという手口も増えており、中小企業がターゲットになるケースも増えています。これらの背景から、中小企業においても情報セキュリティ被害にあう可能性は充分にあり対策は必須になってきます。
こんなにかかる!?セキュリティインシデントにかかる想定コストとは
IPAの調査報告からもみられるように、セキュリティ対策の投資に消極的な中小企業は多いため、いざセキュリティ対策をすすめようとしても、会社の上層部に対してセキュリティ対策の必要性を示すのに苦労しているというシステム管理者のお声もよく聞きます。情報セキュリティ事故は実際に被害にあって損失が出ないとその被害額を認識できないため、費用対効果が出しにくく社内での優先順位が低くなりがちで会社全体での取り組みが進まない企業も多いようです。
セキュリティリスクの想定コストは情報漏洩だけでなく、ライセンス違反などによるコンプライアンス違反、個人情報保護法の法令違反による罰金などもあります。ここで、セキュリティ対策を行わなかったために、発生する可能性のあるコストをみていきましょう。
インシデント発生時の損害額
インシデントが発生した場合、次のようなコストが想定されます。
- 事故対応にかかる費用
事故の調査や復旧にかかる費用など - 賠償損害
被害者や、取引先から損害賠償請求された場合の費用 - 利益損害
ネットワーク停止による、事業停止における損失など
これらは、コストの一例で情報漏洩など顧客や取引先への影響が多い場合、それに付随してさらにコストがかさむ場合もあります。JNSAのインシデント損害額調査レポートのモデルケースでも、軽微なマルウェア感染で約600万円、ECサイトのクレジットカード情報などの漏洩では約9400万円の被害額があったという報告もあります。この被害額は経営に大きな打撃を与えかねません。
参照:日本ネットワークセキュリティ協会(JNSA)インシデント損害額調査レポート 2021年版
コンプライアンス違反
セキュリティ対策を適切に行っておらず、意図せずコンプライアンス違反をしていたというパターンもあります。
例えば、利用を認めていないPCにソフトウェアが無断でインストールされていたことで、保有するソフトウェアライセンスの上限を超過してしまい、ライセンス利用違反が発生していたなどが挙げられます。この状況は、ライセンスの利用違反で訴訟を起こされるという法的リスクを抱えることになります。
法令違反
2022年4月に施行された、改正個人情報保護法ではこれまで義務化されていなかった個人情報の漏洩が発生した場合の個人情報保護委員会への報告が義務化されました。また、罰金の引き上げなども盛り込まれており、法人に対するペナルティが強化されています。
- 個人情報保護委員会からの命令への違反:30万円以下から1億円以下に引き上げ
- 個人情報データベース等の不正提供等:50万円以下から1億円以下に引き上げ
- 個人情報保護委員会への虚偽報告等:30万円以下から50万円以下に引き上げ
知らない間に法令違反となっており、ペナルティを課せられるようなことにならないよう、日ごろから情報セキュリティ対策に取り組みインシデント発生時の体制を整えておくことが大切です。
中小企業のセキュリティ対策でまず必要なこととは
まずは、情報セキュリティリスクは、経営上のリスクでもあるので全社で取り組むべき経営課題ということをシステム管理者だけでなく、経営層も含めて認識することが必要です。前述の、IPAの調査の回答者の役職は半数以上が、経営者、役員となっておりました。調査結果で「情報セキュリティ対策の必要性を感じたことがない」という回答が多かったことからも、経営層が必要性を理解していないことが会社全体でセキュリティ対策に取り組む際のハードルになっているようです。
まずは、セキュリティリスクにかかる想定コストを示して必要性を理解してもらうようにしましょう。
※参照:IPA 2021年度中小企業における情報セキュリティ対策に関する実態調査― 調査報告書 -
自社のセキュリティ状況のチェックから始めてみましょう
最後までお読みいただきありがとうございました。セキュリティ対策の必要性を認識しても、これまで積極的に対策を行ってこなかった場合、いきなり取り組むのは難しいかと思います。まずは影響度の高いリスクへの対策から取り組んでいきましょう。そのために、まずは自社のセキュリティ状況のチェックをおススメします。そこで今回、おさえておきたいセキュリティ対策が分かるセキュリティセルフチェックシートをご用意しました。自社の現状を把握するのにご活用いただければ幸いです。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
