2014年にベネッセがやらかした個人情報流出事件で一人500円の金券がお詫びとして送られたことから、個人情報が漏洩した時の一人当たりのお詫び額としては500円というのが一つの基準です。
しかし、実際に個人情報が流出した企業の損害額は流出件数x500 なんて単純な算出はできないです。
集団訴訟起こされたら裁判対応費用も発生するし、原因調査やら再発防止策やらプレスリリースやらでとにかくお金がかかります。
そんなわけでぱっと損害額を出すのは難しいのですが、日本ネットワークセキュリティ協会(JNSA)さんがこの難問に果敢に挑戦し、一つの解を導き出してくれました。
今後インシデントネタを書く際はこの想定損害額算出プロセスを使って、企業へのダメージを定量的に表現してみたいと思います。
と思っていたら、今度はJNSAの想定損害額算出プロセスのシミュレータを公開されているサイトを発見。
なんともありがたいことです。今後有効活用させていただきます。
【参考URL】
想定損害賠償額シミュレータ
JNSA 情報セキュリティインシデントに関する調査報告書