情報セキュリティ対策費用の考え方＜第５章　情報セキュリティ対策＜経営者・利用部門のためのＩＴ入門＜主張・講演＜木暮仁

情報セキュリティ対策をしなくても、被害にあうとはかぎりません。高度な対策をしても、被害を受けることがあります。そのため、妥当な対策費用はどの程度かについての悩みがあります。
　当然、対象となる情報資源により、経営者の方針により大きく異なります。ここでは「考え方」を示すだけにします。

リスクの大きさ

日本沈没のような大地震や戦争など発生確率が小さいものにまで対策しようとしたら、対策費用だけで倒産してしまいますし、個人情報漏洩を防ぐために、社員が受け取った名刺を直ちに金庫に入れて管理するのは、被害の額から考えて不適切です。では、どの程度の対策をすればよいのでしょうか？
　理論的には次のようになります。
　発生確率×被害損失をリスクの大きさといいます（注）。リスクの大きさがある値よりも小さい（発生確率が小さい、あるいは、発生しても損害が小さい）ものについては、起こったら仕方がないとか起こっても無視する（他の手段でカバーする）ことになります。それを受容リスクといいます。すなわち、情報セキュリティ対策とは、情報システムの脆弱性を少なくすることにより、すべてのリスクを受容リスク内に抑え込むことだといえます。
（注）厳密には、リスクそのものが発生する確率×リスクがインシデントになる確率×インシデントになったときの被害損失というべきでしょうが、簡単に、また通常用いられている表現で、発生確率×被害損失としておきます。

最適対策レベル

では、その受容リスクをどのレベルにすればよいかが問題になります。対策費用をかけないと被害損失が大きくなります。対策を厳重にすれば被害損失は小さくなりますが対策費用が大になります。それで、対策費用＋被害損失が最小になるレベルが最適だということになります。

ここで、被害損失の額は、自社の立場だけではなく、それにより被害を受けた第三者の立場で算定するべきです。そうすると一般的に損害額は大きくなり、最適レベルは対策を厳重にするほうに変化します。

そもそも情報セキュリティ対策には「万全」は存在しません。プログラムミスやＵＳＢメモリの紛失などを皆無にすることはできません。米国国防本部のコンピュータすら不正アクセスの被害にあうことすらあります。これは、自動車事故や泥棒が根絶できないのと同じです。
　被害にあったとき、その原因を追求して再発防止に努めることは重要ですが、故意の犯行でない場合、当事者や情報セキュリティ担当者の責任を過剰に追及するのは不適切です。しかも、経営者が、過失を防ぐための仕組みや費用支出に消極的だったなら、むしろ経営者が責任をとるべきです（経営者責任）。

ＩＴでの不正やトラブルが経営者の責任になることは多いのです。

エンロンは米国の巨大なエネルギー総合企業でしたが、２００１年に重大な粉飾決算が発覚しました。それにより株価は暴落し、連邦破産法を適用され破綻しました。ＣＥＯは禁固２４年、ＣＦＯは禁固１０年の刑を受け、自殺者も発生しました。会計監査をしていた、著名なアーサー・アンダーセン会計事務所も廃業に追い込まれました。なおこれにより、サーベンス・オクスレー法（ＳＯＸ法：企業改革法）が策定され、日本でのＪ－ＳＯＸ法につながりました。
２００２年に開業したみずほ銀行は、合併システムにＡＴＭの障害、振込遅延等その他の障害などのトラブルが発生し、社会問題にもあり、大幅な取引減になりました。各種テストやリハーサル等の事前準備が不十分なまま実施したなど管理体制に問題があるとされ、経営陣の多くが退陣することになりました。

法律でも経営者の責任が明記されています。

会社法による取締役責任: 取締役には任務懈怠（不作為）の罪があります。情報セキュリティ体制が不適切、運用されていない、是正を怠ったなどにより、企業が多額の損失を受けると、取締役個人が代表株主訴訟や第三者からの損害賠償訴訟の対象にされることがあります。
Ｊ-ＳＯＸ法での経営者責任: 経営者は、財務諸表の信頼性を保証するために内部統制を行うことが義務付けられています。内部統制報告書に虚偽記載があると、個人では５年以下の懲役、５００万円以下の罰金が科せられます。
個人情報保護法での両罰規定: 個人情報保護法に違反したとき、その当事者だけでなく監督責任者（一般には担当役員など）に監督義務を行ったことによる罰則、６ヶ月以下の懲役、３０万円以下の罰金が科せられます。

このように、経営者個人の保身のためにも、情報セキュリティ対策を講じる必要があります。

数値化と説明責任

現実には発生確率や被害損失を客観的な数値として求めるのは困難ですし、対策費用と被害損失の関係を数式化することも困難です。ですから、これらの算出は関係者の合意として設定することになり、主観が大きく入り込むことになります。
　これは重要なことです。情報セキュリティ対策について、ＩＴ部門などに対策案を出させてその理由づけを説明させることだけをしている経営者がいます。それは主観を客観的に説明せよというようなないものねだりになりますし、ＩＴ部門は苦心してデッチあげることになります。
　個人情報漏洩など、外部に被害が及んだ場合、その損害賠償には応じるのは当然ですが、それよりも社会的信用を失うほうが企業にとっては損失です。このとき、上述の最適対策レベルが適切であったことを社会に認めてもらえるための説明責任があります。いかに主観的でよいといっても、この説明責任がはたせる程度になっている必要があります。

それには、同業他社並みという考え方もあります。案外これが適当な考え方かもしれませんが、情報セキュリティの重要性の観点から、自社としての取り組みをするべきです。
　最も適切なのは、ＩＳＭＳ適合性評価制度（ＩＳＯ２７００１）やプライバシーマークなど、第三者機関による審査認定を受けることです。

リスクコントロールとリスクファイナンス

ここまで、リスクの発生確率や被害損失を小さくすることを述べてきましたが、それをリスクコントロールといいます。それに対して、インシデントが発生したときの大きな経済的損失を補填することをリスクファイナンスといいます（参照：「リスクコントロールとリスクファイナンス」）。保険加入や積立金などがこれに相当します。コンピュータ保険、プライバシー保険などがあります。
　受容リスクの大きさや最適対策レベルは、リスクファイナンスとの関係で変化します。