 |
|
|
| 1 2 3 次のページ
|
|
| メール監査システム導入予算取りのコツ
|
メールコンプライアンスの仕組みの導入にどのくらい予算がかけられるかは頭の痛いところです。売り上げがいくらあがるか、というシステムであれば投資とリターンの関係が見やすいので、予算獲得も比較的容易ですが、リスク低減の目的となると経営層への説得は中々困難です。
ただし、情報漏洩事故を起こした企業であれば別です。投資すべきだという判断がすでに行われているからです。
ここでは、読者のみなさんの企業が、「情報漏洩事故をまだ起こしていない」という前提で予算取りのポイントを記載します。
|
| 損害賠償費用との比較
|
もっともオーソドックスな予算獲得の方法は、情報漏洩事故が発生した際の損害賠償額との比較です。
2005年度における個人情報漏洩にともなう賠償額の調査を、NPO日本ネットワークセキュリティ協会が行っており、その資料によると、賠償総額7001億7879万円、事件1件あたりの平均は7億868万円だとのことです。
|
| 1人あたり個人情報の額はいくら?
|
なお、個人情報漏洩事件で1人あたりの算定に関する議論が盛り上がったのは、2004年1月、個人情報保護法施行直前に発生したソフトバンクBB社による450万人の情報流出事件でした。その際にソフトバンクBBは500円の商品券をユーザに送り、個人情報が500円の価値か、ということをめぐって議論になりました。また、Yahooオークションに自分の個人情報を出品して抗議する人もあらわれました。
Googleで「個人情報漏洩 Yahoo!オークション 10万円」で検索をすると、当時10万円程度で一旦落ち着いたというニュースがヒットします。
ソフトバンクBB社が500円という金額を選択したのは、おそらくその約半年前、ローソン会員56万件の漏洩で500円の商品券だった前例を踏襲したものと思われます。しかしIT系の企業だったために、大きな盛り上がりとなりました。
現在では、1人当たりの賠償額はさらに上がってきています。マイクロソフト社の中村宏氏が2005年1月に行った講演では、1人当たり1万5,000円程度になるだろうというコメントをだしています。
さらに2005年の集計で、情報漏洩1件あたりの平均被害者数が8,922人という統計もあり、先ほどの7億868万円を割ると、79,430円となります。ソフトバンクBB事件の時に、Yahoo!オークションでついた金額に近いところまできている点も興味深いです。
これらの1人当たりの賠償額に人数をかけると、賠償総額が算出されます。今回は「メールから漏洩すると」という観点ですので、もしかすると、「Excelシートレベルで管理されているものが漏洩しても大したことないのでは?」と思われる方もいるかもしれません。しかし最大で1シート65,536行あり、これに79,430円をかけると、52億円程度になります。中堅以下の企業では持ちこたえられない規模になります。
|
| 1人当たりの額×人数×事故発生比率
|
もう1つは、メールコンプライアンスのシステムを入れる前と後との、事故発生比率差をどの程度と見積もるかです。このあたりはどうしてもアバウトな計算にならざるを得ませんが、仮に1日1回操作する処理で年に1回ミスが発生するとしたら365分の1です。
一度の操作で10,000人のデータを扱うのであれば「79,430円×10,000人÷365=2,176,164円」で、200万円程度の投資をしましょうというシナリオが描けるかもしれません。
参考までに、実際にどのくらいになるかはケースバイケースで、その算定要素としてはJNSAが2005年に発表した資料(注1)によると、「想定損害賠償額=基礎情報価値×機微情報度×本人特定容易度×情報漏洩元組織の社会的責任度×事後対応評価」といった要素で構成されるといわれています。
|
1 2 3 次のページ
|
|
|
|
|
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。
|
|
|
|
|
|
