JNSAの損害賠償額算出式は正しいのか?~実際の判例をもとに検証してみる~


 企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか?

先日、とある判例の話を聞けたので、それを基に検証してみたい。

【インシデント概要】
不正アクセスによる個人情報流出

 -最大1万6798件の個人情報、うち7316件はクレジットカード情報

・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)

-名前

-住所

-電話番後

-メールアドレス

-クレジットカード番号(番号、名義、有効期限セキュリティコード含む)

-性別

-生年月日

-パスワード

JNSAの損害賠償額算出式を用いた想定損害賠償額

・カード流出に関わる1件当たりの想定損害賠償額:78,000円
 ⇒7,316件なので、計570,648,000円(約5.7億円)


【流出企業における実際の損害額】

・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円

・顧客への謝罪費用(クオカード):約1,900万円

・顧客からの苦情処理費用:約500万円

・調査費用(主にフォレンジック):約400万円

・営業損失:約6,000万円

・その他:約50万円

------------------------------

計約1.1億円


ん~。損害賠償額算出式の方がかなり上振れているな。。。

とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。

裁判になるといろいろと細かいことが明らかになるので、興味深い。

ちなみに判例の詳細はこちら(バックアップ)