大企業だけのことではない個人情報漏洩、サイバーセキュリティ脅威

個人情報
2024年 情報漏えい・紛失事故人数上位

引用元:株式会社東京商工リサーチ https://www.tsr-net.co.jp/data/detail/1200872_1527.html

個人情報漏洩、サイバーセキュリティ脅威が大きな問題になっていることを知らない人はいないでしょう。そして、その脅威が増していくと多くの人が認識していると思います。

ただ報道や目につく情報では被害人数や被害額が大きい事故では大企業の名前が表に出ることが多いです。実際はどうでしょう?

日本における個人情報漏洩・サイバーセキュリティ事故の実態

インシデント被害調査WG(NPO法人日本ネットワークセキュリティ協会)は調査レポートで以下のような報告をしています。

被害組織(全体)の規模別割合 
  • 被害の拡大傾向
    日本国内では、2017年~2022年の5年半で約1,300組織がサイバー攻撃による被害を公表。中小企業が全体の約70%を占め、業種も製造業、情報通信業、卸売・小売業など多岐にわたる。
  • 主な攻撃手法と被害額
    主な被害は「ランサムウェア感染」「エモテット感染」「ウェブサイトからの情報漏えい」で全体の7割。
     - ランサムウェア被害の平均損害額は2,386万円。
     - エモテット感染の平均損害額は1,030万円。
     - ウェブサイトからの情報漏えいは、個人情報のみで2,955万円、クレジットカード情報を含むと3,843万円。
  • 事故例
     - メール添付ファイルの開封によるマルウェア感染で顧客情報2万件流出、被害額1,800万円。
     - VPN機器の脆弱性を突かれ、サーバがランサムウェア感染。復旧・再発防止等で1億2,400万円の損害。
     - 元従業員による個人情報の不正持ち出しや、Webサイト設定ミスによる取引先情報の漏洩も発生。
  • 被害の特徴
     - バックアップが暗号化され復旧不能、業務停止や売上損失が発生した例も多い。
     - サプライチェーンを経由した大企業への波及や、取引先からの信頼失墜も深刻。

日本における個人情報漏洩・サイバーセキュリティ事故の損害

  • 中小企業でも数千万円~億単位の損害が発生
    サイバー攻撃や情報漏洩インシデントが発生した場合、中小企業でも数千万円、場合によっては億単位の損失が発生し、経営に多大な影響を及ぼす。
  • 主な損害の内訳
     - 事故原因調査・フォレンジック調査:300~400万円(大規模なら数千万円以上)
     - コンサル・法律相談・広告・コールセンター・見舞金・再発防止費用:各数十万~数千万円
     - システム復旧費用やデータ復旧費用:数十万~数千万円
     - 損害賠償金:個人情報漏洩1人あたり平均2.8万円、全体で数千万円~数億円
     - 利益損害(売上減・営業停止による損失):規模によって大きく変動
     - 金銭損害(ランサムウェア身代金、詐欺被害など):数百万円~数億円
     - 行政損害(罰金など):個人情報保護法違反で最大1億円
     - 無形損害(ブランド毀損・株価下落など):定量化困難だが深刻な影響
  • 事故例
     - ECサイト改ざんでクレジットカード情報1万件漏洩、被害額約9,500万円
     - ランサムウェア感染で業務停止・端末入替、総額3億7,600万円の損害
     - サポート詐欺やマルウェア感染でも100万~800万円規模の損害

引用元:インシデント損害額調査レポート 別紙 被害組織調査

サイバー攻撃、サイバーインシデントは大企業にとどまらず中小企業にも広がっています。いえ、むしろセキュリティの甘い中小企業にターゲットが移りつつあるとの指摘が多くなってきています。

加えて、これらの被害はターゲットになった企業だけにとどまらず、取引先にも影響を与えます。
IPAの調査結果からは被害を受けると悪影響が事前にセキュリティ対策に投資をすると取引につながることが読み取れます。

以下はIPA(独立行政法人情報処理推進機構)の「2024年度中小企業等実態調査結果」速報版の抜粋です。

IPA(独立行政法人情報処理推進機構)の「2024年度中小企業等実態調査結果」速報版

引用元:IPA(独立行政法人情報処理推進機構) https://www.ipa.go.jp/pressrelease/2024/press20250214.html

約7割の中小企業が「自社のサイバーインシデントが取引先事業に影響を与えた」と回答

2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、全体の約3割に相当する「特に無し」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答。
影響があったと答えた企業のうち、
「取引先にサービスの停止や遅延による影響が出た」36.1%
「個人顧客への賠償や法人取引先への補償負担の影響が出た」32.4%
「原因調査・復旧に関わる人件費等の経費負担があった」23.2%
サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情を浮き彫りにしています。

質問:サイバーインシデントにより貴社の取引先(サプライチェーン)に影響はありましたか。影響が及んだ場合はその内容について教えてください。(MA)
サイバーインシデントによる取引先への影響(n=975)

セキュリティ対策投資を行っている企業の約5割が、取引につながった

取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業(n=511)のうち、取引先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと回答した企業は、42.1%でした。(図9)

質問:貴社は取引先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。(SA)
情報セキュリティ対策が取引につながったか(n=511)

まとめ

サイバー攻撃や情報漏洩による損害は中小企業にも広がり、影響は自社だけにとどまらず、被害額は数千万円~億単位に及ぶこともある。人的ミスや内部不正も大きな事故の要因となっており、日常的な教育とシステム・運用両面の対策が不可欠である。