Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

マリオットホテルの事件の4Qコストは31億円

昨年12月に5億件の個人情報のハッキング被害を受けたマリオットホテルチェーンの、4Qにおけるコストが28百万ドル(31億円)に達する事が報じられていました。

www.phocuswire.com

 

Marriott Internationalは、昨年11月に明らかにしたデータ侵害により、2018年第4四半期に2800万ドルの費用が発生したと述べています。

ホテルの巨人は、第4四半期および2018年通年の業績発表の一環としてこれを報告し、「2500万ドルの保険金収入を認識した」と同事件に関連して300万ドルの純費用を残したと付け加えた。

StarwoodとMarriottの合併前のデータハックは、5億の顧客アカウントに影響を及ぼし、最初は2018年9月に発見されました。

(Phocuswire記事より引用)※機械翻訳

 

◆キタきつねの所感

会見年度を考慮すると、この発表は10月~12月のマリオットの事件対応コストを意味しているのだと思います。5億件という想像もつかない個人情報(恐らく私のデータも含まれている・・・)が漏洩した事に対応するコストとしては、2800万ドル(約32億円)というのは、この程度なのかな?と思える額ではあります。

ましてや保険で2500万ドルカバーされる見込みとなれば、実質的被害は3-4億円程度となる訳ですから、現時点では、事件が経営に与えた直接的なインパクトは、信用度の低下(株価下落)という目に見えない部分を除けば、それほど大きいものではない様にも一見思えます

しかし、12月までのコストという事ですから、追加セキュリティ対策や、集団訴訟が出てくる事なども考えると、更に対応費用は拡大していく事は間違いありません。

 

更に言えば、恐らくGDPRにひっかかってくると思います。マリオットの規模だと最大罰金は88億ドル(1000億円弱)に達するとも試算されていますが、そこまでいかないまでも、名が知れた企業であり、漏洩件数も(EC分だけでも)多い事から、規制当局からかなりの罰金が課される可能性が高そうです。

www.forbes.com

 

こうした有形無形の影響を考えると、情報漏えい事件というのは企業にとって経営インパクトを与えるのだと、日本企業の経営層も考えを改める事が必要かも知れません。

 

 

参考:

foxsecurity.hatenablog.com

 

 

f:id:foxcafelate:20190309104139p:plain

更新履歴

  • 2019年3月9日AM(予約投稿)