出社とテレワークを組み合わせた新たな勤務形態によって、サイバーセキュリティリスクは増加しますます複雑化していくでしょう。サイバーセキュリティリスクは、企業や組織が直面する脅威の中で最も重大で、管理を誤ると経済的な損失だけでなく風評的な被害にもつながってしまいます。
経営陣は、サイバー脅威を定量化して管理するための指標を常に必要としています。適切な測定基準とフレームワークがあれば、サイバー攻撃による金銭的損失を容易に定量化できます。ただし、風評的な被害については計算が難しいと感じており、風評被害は金銭的に評価できないと考える人すらいます。

適切な指標を見ることで、風評被害を測定することは可能です。
本稿では、風評被害の定量化に役立つ8つの重要な測定基準を紹介します。

株価の低下

風評被害にコストをかける場合、株価の低下は少なくとも上場企業にとっては、真っ先に採用すべき測定基準の1つです。株価は下落した後に回復する傾向がありますが、よく引用されるcomparitechのブログによると、一度下落した銘柄はその後、NASDAQの同業他社を常にアンダーパフォームしていることが示されています。
同様のことが2020年のニューヨーク大学の研究や2018年の学術論文でも指摘されており、風評被害を軽減する最善の方法の1つとして、企業の社会的責任の強さが挙げられています。
保険会社においても、風評被害の指標として株価に注目しています。保険会社は、サイバーセキュリティの侵害の後に見られるような急激な株価下落の場合に保険金を支払うように設計された商品を提供しています。

PR会社とアドバイザーの費用

考慮すべきもう1つの指標は、適切な情報発信などメディア戦略を支援する専門アドバイザーにかかる費用です。メディア戦略を誤ると大惨事になりかねないため、PR会社の専門知識を得ることは不可欠ですが、それにはコストがかかります。PR会社のサービスは、保険契約の風評被害の一部としてカバーされることが多いので、経済的に定量化できることは間違いありません。風評被害の総コストではないかもしれませんが、PRアドバイザーは確実に測定できるので、その費用は不完全ではありますが、信頼できる指標となります。

苦情ホットラインのコスト

苦情が増加すると、企業は苦情ホットラインやソーシャルメディアチャネルに対応するために、追加のスタッフを雇用したり契約したりする必要があります。深刻な事態を防ぐためには、このような臨時の人員確保が必要となり、高額な費用がかかります。このコストは簡単に測定でき、風評被害を定量化するのに利用できます。ただ、インシデント対応のコストを評価する際には、二重計上にならないよう注意してください。

顧客と売上の減少

顧客の減少は、風評被害を金銭的に評価するための測定可能な方法でもあります。Centrify/Ponemonなどによると「サイバーセキュリティの侵害を受けた後、65%から87%の顧客がビジネスを他に移す」との報告もあります。
こういった事象は、サイバーセキュリティの侵害を受けた後、数万人の顧客を失った多くの大手企業に見られました。アカウント数や加入者数などの指標の代わりに、侵害後に発生する組織の無形資産の評価の低下を定量化するために、relief-from-royalty 法などの手法を用いることができます。

監査負担の増大

侵害を受けた企業のサプライヤーや主要顧客は、侵害を受けた組織のサイバーセキュリティ対策に神経質になりがちです。その結果、監査の回数が増え、信頼が十分に回復する前にISO 27001などの認証が必要になる可能性もあります。このようなコンプライアンス上の負担の増加には、弁護士費用、民間調査、知的財産(IP)の回収、偽造品の販売対策、商標権の保護など高額な費用がかかります。これらの費用は数百万ドルにも上り、訴訟は何年も続くこともあります。一連の作業は、被害を受けた企業のブランドが低品質のコピー商品と結びついてしまうことによる売り上げの減少や顧客のさらなる喪失を防ぐために、定期的に必要となります。
すべての訴訟費用が風評保護に結びつくわけではなく、また結びつけるべきでもありません。どのような訴訟費用を指標に含めるかについては注意が必要ですが、費用を明確に計上することで、風評への影響を定量化することができます。

信用コストと保険料の上昇

サイバーインシデントに関連し、信用コストの上昇と保険料の増加が知られています。情報漏えいを起こす企業は債権者から組織の信頼性が低いと見なされ、それに応じてより多くの費用を金融サービスに支払う必要が生じます。

医療費の増加

サイバー攻撃の標的とされている医療分野においては、患者の初診が遅れてしまうことで発生するコストの増加を見積もることで、レピュテーションへの影響を評価することができます。サイバー攻撃を受けると、医療機関に対する信頼が失われ、患者が病気の治療を遅らせたり先延ばしにしたりする要因となることが知られています。治療の遅れは病気の重症化や治療費の増加を意味し、公共の組織であっても風評被害を定量化する方法が必要です。

上記の例は、すべてを網羅しているわけでも、すべての組織や事件に適用できるわけでもありません。
ただ、適切な測定基準が確立されていれば、風評被害の追跡、管理、軽減に着手できます。風評被害を最小限に抑えるには、事前の計画とインシデント対応チームの活用が最も効果的です。事前に十分に準備し、いざというときに適切に対応できるようにしておく必要があります。

KPMGのサイバーチームは、サイバーリスクを定量化するための計画の策定および実行、各組織に最適なフレームワークと測定基準を決定する、等の支援を行っています。
お気軽にお問い合わせください。

※本文中に記載されている会社名・製品名は各社の登録商標または商標です。

本稿は、KPMGインターナショナルが2021年10月に発表した「Cyber risks and reputational impact」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
Cyber risks and reputational impact

お問合せ