中小企業で数千万円単位の被害も、JNSA「インシデント損害額調査レポート 第2版」公開

　特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は2月9日、「インシデント損害額調査レポート 第2版」を発表した。

　同レポートは、インシデントによる直接的・間接的な損害について、インシデント対応を請け負う事業者等へのヒアリングとインターネット上の公開データを調査しまとめたもの。また、2017年1月1日から2022年6月30日までの期間、国内のサイバー攻撃被害組織の法人名、所在地等を調査・リストアップしたうえで、約1,300法人の被害組織に郵送または問い合わせフォームでアンケートへの協力を依頼し、別紙としてとりまとめている。

　同レポートでは、被害発生から収束に向けた各種事故対応に関してアウトソーシング先への支払を含め、自組織で直接、費用を負担することにより被る「費用損害（事故対応損害）」について、中小企業における損害額の参考値を下記の通り挙げている。

・事故原因・被害範囲調査費用
300～400万円

・コンサルティング費用
10～100万円

・法律相談費用
30～100万円

・広告・宣伝活動費用
1万人にDM送付した場合は約130万円、地方紙に新聞広告を出稿した場合は約50万円

・コールセンター費用
3ヶ月の対応で700～1,000万円

・見舞金・見舞品購入費用
1万人へのプリペイドカード送付で650万円

・ネット炎上防止費用
対応内容によって大きく異なるが300～900万円のケースも

・ダークウェブ調査費用
調査内容によって大きく異なるが数百万円以上のケースも

・クレジット情報モニタリング費用
1ヶ月あたり100～500万円

・システム復旧費用
対応規模等によって大きく異なるが数百～数千万円のケースも

・再発防止費用
対応規模等によって大きく異なるが数百～数千万円のケースも

・超過人件費
対応規模等によって大きく異なるが多くの従業員等が対応に追われるケースも

　同レポートでは、インシデントによる損害としてその他に、委託先から預かった情報が漏えいした場合の損害賠償金や弁護士費用等の「賠償損害」、売上高の減少等の「利益損害」、ランサムウェアによる身代金などの「金銭損害」、個人情報保護法上の罰金として最大1億円が定められた「行政損害」、顧客離れや株価下落などの換算不能な損失である「無形損害」を挙げ、損害の合計は中小企業で数千万円単位、場合によっては数億円単位の損失もあり、経営に多大な影響があるとしている。