GDPRがサイバーセキュリティにもたらした経済的メリットとは？ 「外部性」に着目して考える

　2025年6月、フランスのデータ保護機関である「情報処理と自由に関する国家委員会（Commission Nationale de l’Informatique et des Libertés、以降CNIL）」は、EUの一般データ保護規則（General Data Protection Regulation、以降GDPR）がサイバーセキュリティにもたらした経済的メリットに関する報告書「Cybersecurity Economics and The Benefits of GDPR」を公開しました。

　CNILは2024年4月にGDPRの経済的影響に関するレビューを公開しており、その中でGDPRに関する既存の経済的研究は主にコストに焦点を当てており、そのメリットについてはほとんど言及されていないと指摘していました。今回公開された報告書は、そのレビュー結果を踏まえ、GDPRがサイバーセキュリティにもたらしたメリットを調査・分析した結果をまとめたものです。

　報告書によると、例えば、重大なデータ侵害が発生した企業に対して個人への通知を義務付けた（GDPR第34条）ことによって、個人情報の盗難が減少し、その減少幅は2.5％から6.1％であるとしています。また、この減少分を個人情報盗難のコストに換算すると、2018年以降、フランスでは9000万ユーロから2億1900万ユーロ、EU全体では5億8500万ユーロから14億ユーロの損失が回避されたと推定されています。

　今回の調査研究では、一般的な企業が見落としがちな「外部性（externality）」に着目しています。「外部性」とは経済学の言葉で、ある経済主体の活動が、市場取引を経由せずに、他の経済主体の活動に影響を与えることを意味します。報告書ではサイバーセキュリティにおける主要な外部性として以下の3点を挙げています。

1. 他社に影響を与える外部性（Externalities Affecting Other Companies）
2. サイバー犯罪者に対する外部性（Externalities for Cybercriminals）
3. 顧客に影響を与える外部性（Externalities Affecting Customers）

　そして、一般的に企業がサイバーセキュリティへの投資額を決定する際に、このような外部性が考慮されないため、投資が不十分なままとなっていると指摘しており、それゆえに、GDPRのような規制上の義務が必要なのだと結論付けています。

　上記3つの外部性の説明を、以下に紹介します。

1. 他社に影響を与える外部性

　企業のサイバーセキュリティレベルは、他社のサイバーセキュリティ投資にも左右される。コンピューターウイルスは、生物学的ウイルスが感染を通じて広がるのとほぼ同様に、マシンからマシンへと広がる。したがって、企業によるサイバーセキュリティへの投資は、集団免疫に似たメカニズムを通じて、 環境全体をサイバー犯罪に対してより強靭なものにする 助けとなる。

• 下請け関係においては、データ管理者のデータセキュリティは、その下請け業者のセキュリティレベルに依存する。
• パートナー企業はもちろん、競合他社であっても、ともに一体となることで、その業界内の高いデータセキュリティ基準から「恩恵」を得られ、「好循環」を生み出せる。

　しかし、企業には自社のサイバーセキュリティ投資が競合他社にもたらすメリットを考慮するインセンティブがないため、この分野への投資は制限されてしまう。

2. サイバー犯罪者に対する外部性

　サイバーセキュリティへの投資不足は、サイバー犯罪、特にランサムウェア（身代金を要求する攻撃）の収益性を高める。

　セキュリティ対策が不十分な場合、 攻撃が成功する可能性が高まる 。一定数の被害者が最終的には支払うことが分かっているので、攻撃が成功すればするほど、より多くのサイバー犯罪者が高額な身代金を要求できるようになる。サイバー犯罪者は利益を最大化するために身代金の額と支払われる可能性のバランスを取る。身代金が高すぎると被害者が支払いをためらう可能性があるが、逆に身代金が低すぎると利益は最大化されない。

　多額の身代金を支払う意思のある企業はごくわずかであるため、 最適な戦略は攻撃の成功件数によって異なる 。攻撃の成功件数が非常に少なければ、被害者のほとんどが支払いに同意するような適度な身代金を要求する方が利益が大きくなる。しかし、攻撃の成功件数が多ければ、非常に高額な身代金を支払う可能性のある被害企業も増える。そのため、サイバー犯罪者は、たとえ実際に支払われる件数自体はわずかでも、高額の身代金を設定した方が利益を最大化できる。

　このように、サイバーセキュリティへの投資不足は、攻撃の成功率を高め、サイバー犯罪者がより高額な身代金を要求できるようにするとともに、最終的にはサイバー犯罪の収益性と深刻度の両方を高めてしまう悪循環を生み出すのである。

3. 顧客に影響を与える外部性

　企業に影響を与えるデータ侵害は、多くの場合、その顧客／ユーザー（自然人）の個人データに関係している。こうしたデータは、被害を受けた個人に対するさらなるサイバー攻撃（フィッシング、なりすまし、クレデンシャルスタッフィング）に使われる可能性がある。データ侵害による被害を受けた個人は、自身の個人データ漏えいの責任がどの企業にあるかを必ずしも特定できるとは限らない。

　企業がデータ侵害を公表すると、 評判の失墜、企業価値の低下、顧客の信頼喪失といった結果を招くリスクがある 。こうした悪影響を回避するため、 規制がなければ 、企業はインシデントを公表しないという選択肢を取る可能性がある。

　このような負の外部性は最適とは言えず、サイバーセキュリティへの投資不足がもたらした顧客の損害に対する責任から、当該企業が逃れる可能性を生み、結果として保護措置を強化するインセンティブを低下させる要因となる。さらに、被害を受けた個人が自らを守るために警戒心を持ち、かつ適切な対策を講じることを妨げてしまう。

　GDPRはこのような不透明性を違法としている。データ管理者は、あらゆる侵害についてデータ保護当局に通知し、かつ個人データ侵害に関連して高いリスクが存在する場合は影響を受ける個人に通知することが義務付けられている。これらの義務を遵守しない企業は制裁を受けることになる。このような外部性を減らすことで、GDPRは社会全体に利益をもたらしているのである。

　GDPRが2018年5月に施行されてから7年以上が経ちました。CNILはGDPRを推進する立場なので、今回の報告書を作成するにあたって何らかのバイアスがかかっている可能性は絶対にないとは言えないでしょう。それでも、GDPRのような規制が存在しない場合のデメリットと、存在することで得られるメリットを明確に説明している点は注目に値します。特に「外部性」の観点は、指摘されているように一般的な企業では見落とされがちではあるものの、確かに重要であり、EUに限らず、企業や組織がサイバーセキュリティ投資を検討する際に考慮すべき点です。今回の報告書の特にこの部分を、経営層などへの説明にうまく活用していただくことを期待しています。