情報漏洩で会社はどれだけの損害を受けるのか？スモールビジネスでも知っておくべき現実

この記事では情報セキュリティ対策を怠り、個人情報や機密情報の情報漏洩が発生した場合、どれぐらい深刻な損害があるのかを見ていきます。

「うちは小さな会社だから狙われない」「情報漏洩なんて大企業の話でしょ」と思っていないでしょうか？実は、サイバー攻撃の被害を受けるのは中小企業が最も多いというのが現実です。

最近の事件から具体的な例を挙げながら、統計データも参照して解説していきます。客観的なデータから、現実的な脅威を少しでも実感していただければと思います。

この記事は2025年5月時点の情報に基づいて作成されています。統計データや事例の詳細は時間の経過とともに変化する可能性があります。

1. 金銭の損失

直接的な損失

情報セキュリティ事故による金銭的被害は増加傾向にあります。IPAの「情報セキュリティ10大脅威 2025」によると、組織における脅威の第1位は「ランサムウェアによる被害」で、5年連続で1位に輝いています。

ランサムウェアとは、Ransom（身代金）とSoftwareを掛け合わせた造語で、様々な方法で脅迫を行い、金銭を要求するウイルスの一種です。データやシステムを人質にし、「身代金」を要求してくることからこのように呼ばれています。具体的には、データを暗号化して読み取れなくして「復元して欲しければ金を支払え」とか、重要な機密データを盗み出し「その情報を公開されたくなければ金を支払え」といった要求をしてきます。

具体例：株式会社KADOKAWA

KADOKAWAグループのデータセンター内のファイルサーバーなどがランサムウェアを含む大規模なサイバー攻撃を受け、サービスが停止しました。25万件余りの個人情報が流出し、サービス停止中の売り上げ減により、売上高で84億円、営業利益で64億円の減少影響を見込んでいます。

日本ネットワークセキュリティ協会（JNSA）の調査によると、ランサムウェアによる平均被害額は2,386万円、暗号化されたデータを復旧できた組織は50%しかないそうです。

また、警察庁の調査では、ランサムウェアの被害を受けたのは中小企業が最も多くなっています。業種では製造業、卸売・小売業、サービス業が多い傾向です。

間接的な損失

実際の被害額は直接的な損失だけではありません。被害に対応するため、以下のような追加コストが発生します。

• フォレンジック調査：300〜400万円
• 法律相談費用：数十万〜
• お詫び状の印刷・発送：1通あたり封書130円
• 新聞お詫び広告：全国紙240万円前後、地方紙50万円前後
• コールセンター設置：700〜1000万円
• システム復旧費用：規模によりケースバイケース
• 再発防止費用：規模によりケースバイケース

これらはあくまで一例です。被害内容によってはさらに多くの費用が必要となる場合もあります。

具体例：株式会社KADOKAWA

6月8日に発覚したKADOKAWAグループのデータセンター内サーバーへの大規模サイバー攻撃の影響により、出版・IP創出セグメントにおいて国内紙書籍事業の生産高・出荷部数が減少したことや、Webサービスセグメントにおいてニコニコファミリーのサービス全般が停止したことなどの影響が生じました。

その結果、2025年3月期通期連結業績において出版・IP創出セグメントとWebサービスセグメントを中心に売上高で84億円の減少影響、営業利益で64億円の減少影響が発生する見通しです。

また、ニコニコサービスのクリエイター補償費用や調査・復旧費用などの特別損失36億円を計上する見込みであることから、その影響も含めて親会社株主に帰属する当期純利益を▲37億円修正することになりました。

2. 顧客の喪失

情報漏えい事故を起こした企業は取引先からの信用を失い、その回復には多くの時間を要しています。これらはなかなか定量的に測るのが難しいですが、上場企業の場合、株価の低迷としてある程度数字に出てきていることがわかっています。

日本コンピュータセキュリティインシデント対応チーム協議会（JCIC）の調査によると、情報流出等の適時開示を行った企業47社において、適時開示後50日後には株価が平均6.3%下落していたそうです。

上場企業でなくとも、信用を失うことによって長期にわたる影響が発生する可能性があるのは想像に難くありません。最悪の場合、倒産の危機に陥ることも考えられるでしょう。

3. 事業の停止

警察庁の資料では復旧に要する期間について以下のようになっています。

一応1週間未満が一番多くなってはいますが、中には2ヶ月以上かかっているものもあります。復旧に時間がかかる場合、その間事業が停止したり、停滞するリスクがあります。

具体例：株式会社エムケイシステム

社会保険労務士向けクラウドサービス等を提供する株式会社エムケイシステムは、2023年6月5日、ランサムウェアの被害により同社の複数サービスが停止しました。バックアップからの全面的な復旧には時間がかかるとして、新バージョンへの移行を実施し、6月30日より順次サービスを再開しました。

同サービスにおいて、同社と契約している社労士が長期にわたりサービスの利用やデータの閲覧ができなくなることで、社労士に業務を委託していた組織の社会保険手続きや給与計算等に影響を及ぼす可能性があったとのことです。

4. 従業員への影響

内部不正のリスク

情報セキュリティ対策を十分に行なっていない職場環境では、従業員による内部不正が発生しやすくなります。情報セキュリティというと外部からの攻撃にばかり気を取られてしまいがちですが、前出の「情報セキュリティ10大脅威」でも、継続的に上位に挙げられているほど実際には発生することが多い問題です。

具体例：NTTビジネスソリューションズ

2023年10月、NTTビジネスソリューションズは、同社に勤務していた元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表しました。同派遣社員は2013年7月から2023年1月の間に、自身が運用に関わっていたコールセンターのシステムに、管理者アカウントを悪用して不正アクセスし、少なくとも69組織の顧客情報928万件をUSBメモリーにコピーして持ち出していました。持ち出した顧客情報を名簿業者に販売し、1,000万円以上を対価として受け取っていたとみられ、逮捕されました。

職場環境の悪化

情報セキュリティ対策の不備は、以下のような負の連鎖を生む可能性があります。

• 事故発生時の対応の混乱
• 責任追及による職場の人間関係の悪化
• 従業員の働く意欲の低下

たとえば、情報漏洩事故の対応には多大な労力がかかる一方、正当に評価されないといったことも起こりがちです。通常の業務に加え事故対応で疲弊しているところに上司や周りから批判を浴びることによって、離職に繋がってしまうこともあります。

まとめ

以上のように、情報セキュリティ対策の不備は、金銭的な損失だけでなく、顧客との関係、事業継続、そして従業員のモチベーションにまで広く影響を及ぼすことがわかります。

特にスモールビジネスにとって重要なのは、これらの損害が会社の規模に関係なく発生するという点です。むしろ、警察庁の調査で明らかになっているように、中小企業の方がランサムウェア攻撃の標的になりやすいのが現実です。

大企業であれば数十億円の損失も事業継続に致命的な打撃とはならないかもしれませんが、スモールビジネスにとって数百万円から数千万円の損失は、場合によっては事業の存続に関わる深刻な問題となります。

「うちは小さな会社だから狙われない」という考えは、もはや通用しません。現実的なリスクとして情報セキュリティ対策に取り組むことが、スモールビジネスの持続的な成長にとって不可欠な時代になっているのです。