情報漏えいが事業経営に与えるインパクト − @IT(情報元のブックマーク数)
情報資産棚卸で見落とされがちな、重みづけや財務的なインパクト、財務的なインパクトは一担当者(担当部署)だけでは判断できないよねぇ。
一般の企業における情報資産の棚卸しでは、業務にかかわる担当者が重要度を選別し、万が一なにかがあったときの責任を追う責任者や経営層がそれを承認するのが一般的な考え方だ。しかし実際には、重要度の分類方法や分類された結果が、リスクマネジメントを行う上でふさわしい答えになっているかは疑問である。
通常の企業が行う情報資産の棚卸しで、見落とされがちな点は以下の項目だ。
- 誰の視点で情報資産を重み付けしているか
- 情報漏えい時に被る財務的なインパクトは、適切に予測されているか
情報漏えいが事業経営に与えるインパクト − @IT
以上のたった2つの項目であるが、筆者が企業の情報資産の棚卸しの際に重要視しているポイントであり、実際に適切に情報の重み付けやコストインパクトの予測をしている企業は少ない、と筆者は感じている。
良記事、なかなか以下のマスコミ対応やクレーム対応、イメージに関する影響ってのは出てこない。
(1)ユーザーへの謝罪・マスコミ対応など、一次対応費用:
- 現存する顧客への顛末報告のアナウンス
- 顧客からの集団訴訟リスク/賠償金のコスト
- クレームの処理に要する時間、コスト
- マスコミへの対応を行うためのコスト
(2)サイト停止時間に伴う機会損失:
- 事業を一時停止した場合の、販売機会損失
(3)イメージ低下による減収:
- 固定客の離脱による、売り上げの減少
- イメージの低下による、新規顧客の減少による減収
- 株価の下落による時価総額減
(4)情報漏えい対策へのコスト:
- データ流出防止策実施へのコスト
- 改善策の実施アナウンスのコスト
- 顧客データ分散範囲の調査および回収のためのコスト
情報漏えいが事業経営に与えるインパクト − @IT
以上のようなそれぞれの要素を予測し、総合的な財務インパクトに見合った情報漏えい対策を行っていくことが必要である。
コストが分かれば、それにかけられるお金もわかる、こういう啓蒙がセキュリティ業界には必要なんだろうなぁ・・・・
以上、情報の価値を正しく見極め、情報漏えい時のコストインパクトを適切に予測したうえで、対策にかかわる費用と比較検討することが重要であることをご理解いただけたことと思う。
情報漏えいが事業経営に与えるインパクト − @IT
