個人情報保護に関するリスク分析での資産評価について

私は専門家ではないのであるいは勘違いがあるかもしれません。 しかし、riskaz59さんのリスク分析の方法論は違うように思います。 たとえば、倉庫に雨漏りがして、１００万円で仕入れた在庫がびしょびしょになり売り物にならなくなったとすると、１００万円分の商品が失われるので、その価格がリスクです。 しかし情報が漏洩したからといって、情報そのものが会社から失われるわけではありません。 たとえば他社と業務提携をし、新製品の製造方法に関する秘密情報を１００万円で購入したとします。この情報が社外に漏洩しても、情報そのものは社内にちゃんと存在し、１００万円分の情報は失われたわけではありません。 しかしその情報が競争相手に漏れ、競争相手がこの情報を使って商品を作り、その結果提携企業の売上が激減し、１億円の損害を蒙ってしまったとしたらどうでしょう。提携企業は 「お前の会社が情報をちゃんと管理しなかったからわが社が１億円も損害を蒙ったのだから、１億円賠償しろ」 と言ってくるかもしれません。これが情報漏洩のリスクなのです。 御社の社員が、お客様にとても優れたサービスを行い、お客様からとても感謝されたとします。そして、その社員の住所氏名などの個人情報が漏れたとします。 世の中にはいろいろな人がいます。その社員がお客様から感謝されたのを快く思わない人もいるかもしれません。そういう人がその社員の個人情報を手に入れ、インターネット上でその情報を公開し、さらにやっかみから、 「その社員は実はとんでもなく悪い社員だから、みんなで懲らしめよう！」 などとでたらめの情報を流すかもしれません。 その尻馬に乗って野次馬的に批判のコメントがインターネットを飛び交い、社員の自宅や家族の写真がネット上で公開され、自宅にも落書きや無言電話が来るようになり、社員はノイローゼになって自殺した、ということになったらどうでしょう。 遺族は「精神的苦痛の慰謝料と逸失利益の賠償金、合計１０億円支払え！」と訴訟を起すかもしれません。 これがリスクとして考慮すべき金額だと思います。 こういった事態を防ぐために、個人情報保護にいくらぐらいのお金を掛けるのが妥当か、ということを考えるのがリスク分析だと思います。 さて、一人の社員の個人情報の漏洩から１０億円の損害賠償を支払わなければならなくなるような事態が１年間に生じる確率が１０万分の１であるとします。ということは、１０万年に１回、１０億円の支払が生じることになりますから、１年あたりでは １０億円×１／１０万＝１万円 となります。 つまり社員１人当たり年間１万円のコストがかかっていることになります。社員が１００人いると、会社全体では情報漏洩による損害賠償のコストが年間１００万円かかることになります。 人間は神様ではありませんからミスを犯します。「いつか必ずミスを犯し、必ずコストを生じる」という前提で、必ず生じるコストを見積もると、年間１００万円相当になる、ということです。情報管理を向上させることでこのコストを１／１０の１０万円に減らすことができると、年間９０万円のコスト削減になるわけです。９０万円のコスト削減の為に９０万円使ったらコスト削減になりません。どんなに多くても８０万円か７０万円以下に抑えなければ意味がありません。これが情報保護のためのシステムに費やす費用の上限です。 要するに、その情報が漏れた時にどんな被害が生じる可能性があり、いくらぐらいのコストがどのくらいの確率で生じるかを見積もるわけです。これが個人情報の評価であると考えます。資産価値はリスク分析には意味がないと思います。