企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか?
先日、とある判例の話を聞けたので、それを基に検証してみたい。
【インシデント概要】
・不正アクセスによる個人情報流出
-最大1万6798件の個人情報、うち7316件はクレジットカード情報
・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)
-名前
-住所
-電話番後
-メールアドレス
-クレジットカード番号(番号、名義、有効期限、セキュリティコード含む)
-性別
-生年月日
-パスワード
・カード流出に関わる1件当たりの想定損害賠償額:78,000円
⇒7,316件なので、計570,648,000円(約5.7億円)
【流出企業における実際の損害額】
・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円
・顧客への謝罪費用(クオカード):約1,900万円
・顧客からの苦情処理費用:約500万円
・調査費用(主にフォレンジック):約400万円
・営業損失:約6,000万円
・その他:約50万円
------------------------------
計約1.1億円
ん~。損害賠償額算出式の方がかなり上振れているな。。。
とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。
裁判になるといろいろと細かいことが明らかになるので、興味深い。