|
|
| できる事から始めるセキュリティ対策12 |
(1) リスクの低減
脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。
ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないように入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。
(2) リスクの保有
リスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。
許容できるリスクのレベルを超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合や、コスト(人、物、金等)に見合ったリスク対応の効果が得られない場合等にも、リスクを受容します。
(3) リスクの回避
脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。
例えば、「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合や、水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する、などが該当します。
リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。
(4) リスクの移転
リスクを他社などに移すことです。
例えば、リスクが顕在化したときに備えリスク保険などで損失を充当したり、社内の情報システムの運用を他社に委託し、契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなどが該当します。
しかし、リスクがすべて移転できるとは限りません。
多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。
例)
| 想定事故例 |
想定損害額 |
| 顧客名簿のデータベース化を委託した外部業者が情報を流出させたことにより、顧客の一部(10,000人)がプライバシー侵害を理由に損害賠償を請求した。 |
1名あたり15,000円の損害賠償金の支払いを命じられたとすると…
総額 1億5,000万円 |
外部からの不正アクセスにより、顧客(個人)情報3
万人分が社外に漏えい。急遽全国紙に謝罪広告を掲載し、3万人に対してお詫び状と500円相当の金券
を送付した。 |
謝罪広告費 1,000万円
見舞品(金券)購入費用 1,500万円
お詫び状作成・郵送費 300万円
総額 2,800万円 |
| |
賠償責任部分
支払限度額 |
費用損害部分
支払限度額 |
保険料 |
| 年間売上高:200億円 コンビニエンスストア |
3億円 |
3,000万円 |
約60万円 |
| 年間売上高:100億円 インターネット小売通信販売事業者等 |
1億円 |
3,000万円 |
約50万円 |
| 年間売上高:30億円 情報サービス事業者等 |
5,000万円 |
1,000万円 |
約30万円 |
|
|
|