みなさんこんにちは!企業損害保険コンサルタントの増木です。
最近ではマイナンバー制度の運用や、リモートワーク、時差出勤など、会社をとりまく環境がどんどん変わってきています。
そんな中、各企業でどんどんリスクが高まりつつあるのが「個人情報漏洩リスク」です。
今回は個人情報に関するリスクや保険の必要性に関して考察してまいりましょう!
個人情報漏洩事故の実態
まずは最新の個人情報漏洩に関する、1年間の事故の件数と内容についてです。
漏洩人数 約561万人
漏洩件数 443件
想定被害賠償総額 約2684億円
引用:NPO法人 日本ネットワークセキュリティー協会 2018年情報セキュリティインシデントに関する調査報告書
データ上はこのようになっておりますが、こちらはあくまで公表されている数字であり、
実際ははるかに多くの事故が発生していると推測されます。
また、主な発生原因は
①紛失・置き忘れ 26.2%
②誤操作 23.9%
③不正アクセス 20.3%
となっており、人為的なミスに関する原因は毎年変わらず、高い確率をキープしております。また「不正アクセス」が近年、急激に増加している事には注意が必要です。
想定される個人情報漏洩の事例
■サイバー攻撃
標的型メール攻撃を受け、顧客の個人情報が漏洩してしまった。
■情報の持ち出し
取引先から預かった個人情報の入ったファイルを、従業員が不正に持ち出して第三者に売ってしまった。
■メール誤送信
顧客情報が記載されたデータファイルを、誤って外部にメール送信してしまった。
■情報の盗難
営業中に車上荒らしにあい、個人情報の入ったパソコンが盗まれてしまった。
想定される被害について
■損害賠償請求
個人情報や機密情報などが漏れた場合、顧客から損害賠償を請求される場合があります。
個人情報漏洩事故は1件あたりの損害賠償額は大きくなくても、件数が膨大となる事が多く、問い合わせ対応や連絡の伝達、謝罪文の発送など、想像以上に労力や手間がかかってしまうことが特長です。
■業務の一時停止・対策費用発生
個人情報漏洩事故が起こってしまうと、全社を挙げて対応に追われることとなります。
長期にわたり営業機会を損失し、対策コスト発生の影響による売上の低下、通常業務に人員を配置することも難しくなり、利益の減少だけでなく、大変な苦労を強いられる可能性が高くなります。
■行政指導・刑事責任
重大なセキュリティ事故には、行政指導が入ることもあります。また、
・個人情報保護委員会の措置命令に違反した場合
・個人情報保護委員会の質問や検査に応じない場合
・利益目的での盗用や流用をした場合 他
などは刑事罰の対象となり、罰金や禁固刑が科せられる事もありますので、個人情報を正しく取り扱い、行政の指導には徹底して従うことが求められます。
■社会的信用の低下
「セキュリティ事故を起こした会社」として、顧客からの企業イメージが低下を招く可能性があります。
一歩対応を間違うと、顧客離れにつながっていく可能性があります。
■社内のモチベーション低下
取引先や顧客に直接対応する従業員は、不安や不満を募らせることとなり、仕事に対するモチベーションの低下が懸念されます。
また、通常の人員配置ではないため、様々な業務でミスやエラーが起こりかねず、企業全体を揺るがす事になりかねません。
自社をとりまく環境の把握
リスクコンサルタントや保険担当者に相談する前に、まずはご自分の会社の状況を把握することが重要です。
以下の点に関して、今一度振り返ってみましょう!
・何件くらいの個人情報を保有しているか?
・どのような内容の個人情報を保有しているか?
・個人情報にアクセスできる人は限られているか?
・個人情報を社外に持ち出すことがあるか?
・個人情報の取扱いに関する従業員教育は行われているか?
・業務の第三者委託はあるか?
・取引先から個人情報を預かることがあるか?
以上のチェックポイントを把握したうえで、対策を実施するにあたっては、以前、別のコラムでもご紹介させていただいた
①リスク回避 ②リスク軽減
など、まずは物理的な対策や、ルールの策定がとても大切です。
それでも避けきれないミスや攻撃に対して、
③リスク移転 に取り組んでいきます。
つまり保険を含め、様々なリスク対策を検討していくこととなります。
個人情報漏洩保険のコンセプト
ここでは一般的な個人情報漏洩保険の仕組みについて概略をご説明させていただきます。
※保険会社により特徴や内容が違いますので、詳細についてはご担当者にお問い合わせください。
個人情報漏洩保険はサポート費用を中心とした保険
一般的な損害保険は物理的な損害等に対して支払う、法律的な賠償に関しての補償がメインとなりますが、
この保険は事故に対応するための費用の補償を重点的に設計されていることが特徴です。
①初期対応のサポート
②事故後の対応サポート
③損害賠償のサポート
特に①②の費用に関しては、
専門的な対応や、行政への届け出、調査費用、社告費用、コールセンター設置など、
様々な分野での対応が必要となり、企業がサポートを必要とする領域になります。
※詳細は『応用編』にてご紹介させていただきます。
まとめ
今回は、一歩間違えば企業にとって大ダメージとなりかねない、個人情報漏洩の漏洩リスクについてご説明させていただきました。
これからの時代、もはやどの企業でも発生する可能性があり、100%避けることは困難です。
企業として、最大限のリスク回避のための努力は必須ではありますが、世間が特に注目をするのは、事故後の対応がきちんとできているかという事です。
事故後どのように対応したか、その対応力や誠実さが評価され、かえって事故前よりも信頼度を上げ、大きく業績を伸ばす企業もあるほどです。
もちろん事故が無いのが一番ですが、その後の対応で企業のイメージが大きく変化することも視野に入れ、対策をしていくことが企業の責任と言えるでしょう!
★次回は具体的な事故例や損害額、保険の対応例などを「応用編」にてご紹介させていただきます!
事業者(企業・個人事業主)の損害保険・リスクコントロールに関するご相談は随時お受けしております。
保険という狭い視野だけで考えるのではなく、業務全般やご意向を尊重した上で、多角的な視点と事業のご発展のサポートを含め、的確なアドバイスが出来るよう、努力させていただきます。
※ご相談いただいても、もちろん弊社で保険加入いただく必要はございません。
お気軽にお問合せください。
執筆者:企業損害保険コンサルタント・増木 新也
総合保険代理店 株式会社プレミアサポート経営者
企業の損害保険分野・リスク管理を専門とし、リスク管理や事故対応において顧客企業から大きな満足を得ている。また、オリジナルアプリを活用した顧客サービスや経営者支援のためのグループ運営、イベント企画など、ユニークかつ積極的な活動を行っている。