Yahoo!ニュース

情報漏洩が株価に与える影響。短期的には下落するが一ヶ月後には反発する傾向がデータから浮かび上がった。

大元隆志CISOアドバイザー
(写真:アフロ)

 技術系ニュースサイトのComparitechは企業の情報漏洩事故が株価にどういった影響を与えるか?について興味深いレポートを発表した。この分析は、ニューヨーク証券取引所(NYSE)に上場している28社の有名企業が、2007年以降に起こした100万件以上の情報漏洩事故を対象とし、合計33件の情報漏洩事故発生後の株価を調査している。

■主要な所見。短期的には下落するが一ヶ月後には反発する

 非常に興味深い洞察が記載されている。まず、情報漏洩企業の株価は、漏洩後約14営業日の間は、安値をつける傾向が見られたという。株価は平均7.27%下落し、NASDAQを-4.18%下回っていた。「情報漏洩は企業の株価下落を招く、だからセキュリティ対策にお金をかけましょう」という結論に至るのかと思ったが、Comparitechによれば、そうはならなかったようだ。

 情報漏洩から約1カ月後、株価はなんと「反発する傾向にある」というのだ。情報漏洩から約1カ月も経過すると、平均でNASDAQのパフォーマンスに追いつき、情報漏洩から半年後には半年前より株価が改善する傾向が見られたという。情報漏えい発生前の半年間の平均株価上昇率は4.1%だったが、情報漏えい後は7.4%となっていた。同様に、これらの企業はNASDAQと比較しても、情報漏洩前はNASDAQ平均と比較して-1.65%下回っていたが、半年後には0.48%上回った。

 しかし、それでも長期的にみれば、情報漏洩は株価に「多少は」悪影響を与えるようだ。情報漏洩1年後の株価は平均8.38%上昇したが、NASDAQとの比較では-6.49%下回っていた。2年後では平均株価は12.78%上昇、NASDAQとの比較では-12.88%下回った。そして三年後には平均株価は32.53%上昇したが、NASDAQとの比較では-13.27%下落した。情報漏洩前と比較して株価は上昇するものの、そうでなかった企業と比較すれば成長率は劣る傾向にあったようだ。

・漏洩したデータ種別による違いも興味深い。クレジットカード番号や社会保障番号といった機密性の高い情報、次にパスワード、ログイン情報、医療記録といった認証情報、最後にユーザー名、メールアドレス、電話番号、住所といった個人を示す情報といった3つのグループに分類し比較されている。

 それによると機密性の高い情報を漏洩した企業は、最も株価下落の影響を受け、漏洩から約40日後にNASDAQと比較して-7.83%の下落となった。次いで個人を示す情報を漏洩したグループが48日目に-3.12%の下落を示したという。認証情報を漏洩した企業は、漏洩当初は株価は下落するものの、その後は株価が持ち直すという意外な結果になったようだ。

・業種別に見ると、金融および決済企業は、情報漏洩が株価に与える影響が最も多く、最大の下落を記録したという。一方、ヘルスケア企業は最も影響を受けない業種であった。

 

■対象企業

 本調査で対象とした企業はニューヨーク証券取引所(NYSE)に上場している以下の企業。Apple、Adobe、Anthem、Community Health Systems、Capital One、Dun&Bradstreet、Facebook、First American Financial、Ebay、Equifax、Global Payments、Home Depot、Health Net、Heartland Payment Systems、JP Morgan Chase、LinkedIn、マリオットインターナショナル、モンスター、T-モバイル、ソニー、ステープルズ、ターゲット、TJマックス、アンダーアーマー、ボーダフォン、ヤフー。

■データの見方には注意が必要

 非常に興味深い報告では有るが、データの見方には注意が必要だ。Comparitechも指摘しているが、そもそものサンプル数が少ないという点を考慮しなければならない。また、Heartland Payment Systems(HPY)やLinkedIn(LNKD)のように買収等によって上場廃止となった企業のデータが一部の数値に影響を与えていることも考慮しなければならない。

 また、これは筆者の私見だが、米国の株式市場は2007年以降右肩上がりで上昇し続けており、情報漏洩による一時的な株価下落は「買い場を提供する」状態になっていたとも推測される。もし、未だバブル時代の株価を上回ることの出来ない日本の株式市場を対象とした場合には、今回の調査結果とは全く違った結果になることも想定される。「なんだ情報漏洩しても、株価には影響は無いのか」と油断すると、最悪サービス停止に追いやられることも想定されるので、注意が必要だ。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事