データ漏洩事件の件数が減っているにもかかわらず、企業が負担する漏洩データ1件あたりのコストは上昇していると、米国のある調査データが伝えている。これは「U.S. Cost of a Data Breach Study」のタイトルで米PGP Corp.と調査会社の米Ponemon Instituteによってまとめられたもので、今年で第5回目の調査となる。
それによれば、Identity Theft Resource Centerがまとめたデータ漏洩事件数が2008年に657件、2009年に498件だったにもかかわらず、企業が顧客レコードの漏洩1件あたりにかかるコストは2008年の202ドルから204ドルと増加している。漏洩事件1つあたりの平均でみれば、2008年の665万ドルに対し、2009年は675万ドルと微増している。
ここでいうコストはさまざまな要素を含んでおり、データ漏洩防止のためのセキュリティ対策や管理費用、機会損失や悪評への対策費、カスタマーサポート関連など、データ漏洩にまつわるすべての対策費用となっている。だが調査を担当したPonemonによれば、最もコストに影響しているのは悪意のある攻撃やボットネットなどの対策費によるものだという。また法的対処のコストも増加傾向にあるという。一方で内部の人間の不注意によるデータ漏洩は減少しており、これは社員教育や意識改革の結果によるものということだ。暗号化技術の利用率も前年の44%から2009年には58%に上昇している。
データ漏洩が発生するケースを割合別でみると、前述のようなノートPC等の紛失やデータ持ち出しなどによるミスが40%、第三者によるデータ誤送信や設定ミスなどのトラブルが36%、そしてマルウェアや直接攻撃などの被害によるものが24%となる。また後者の直接攻撃などのケースでは、より金銭獲得狙いの傾向が顕著だという。