実際に情報漏えいが起きたことを想定して、それに見込まれる損失を目安に投資額を検討してみる。新聞などで報道されたデータから直接被害額・間接被害額をまとめてみる。なお、直接被害とはお詫びの金券（とその配布費用）や記者会見費用など一次的に発生する損失である。一方、間接被害とは損害賠償請求が確定し、被害者全員にそれを支払った場合に発生する損失である。
　：
「情報セキュリティインシデントに関する調査報告書（2002）」によると短期的には株価への影響はないとされている。しかし、これは情報漏えい後のCRM（顧客関係管理）がうまくいき、逆に同情または好感されている可能性があることも考慮に入れるべきだ。
　：
結論からいえば、初期段階のセキュリティ投資として認められる金額は、一般的な項目の情報漏えいについては、直接被害だけを考慮に入れた場合10億円未満、間接被害も考慮に入れれば100億円未満といえる。

変な社内システムに手を加えるとかだと果てしなくお金かかるみたいですよね〜。あと、あれだ。お金かけても、それって意味無いじゃんっていうのも結構あったりするので、内容ですな。
でも、短期的にでも株には影響があまり無いんですね。あれ、この記事では「短期的には株価への影響はないとされている」とかなってるけど、元の資料だと

この結果から、企業毎に影響の有無や大小があるものの、「全社集計」においては、大きなマイナスとなり、「一日当り」の数値では、わずか８社の合計額で約１５０億円を示している。そして、企業によっては、１社のみで１００億を超える数値も見られる。

とか言ってるけど。。。表を見ると確かにプラスになってるとこもあるけど、「短期的には株価への影響はないとされている」なのかしら・・・？