3つめの問題は、被害後のJTBの対応が遅れたことだ。最初に怪しい動きが確認されたのは3月19日だが、すぐには通信を遮断しなかったと報道されている(NHK報道による)。これが事実とすれば、日本年金機構流出での反省点が生かされていなかったことになる。
また、発表までに時間がかかったことにも疑問がある。不審な通信を確認したのが3月19日、外部からの不正侵入者が個人情報ファイルを作成・削除したことを確認したのが4月1日、ここに個人情報があることがわかったのが5月13日、そしてようやく6月14日に発表された。
不正な通信を確認してから3カ月、個人情報流出がわかってから1カ月もたってからの発表だ。流出の被害に遭った顧客に対しての連絡があまりに遅いといわざるを得ない。JTBでは「調査に時間がかかった。流出内容が特定できない段階で公開することでお客様に不安を与えると判断した」とのことだが、遅れたことで逆に信用を失ってしまうだろう。事故後の対応の遅れが問題だ。
流出への補償やセキュリティ対策で100億円以上の出費もあり得る
JTBは上場していないため株価への影響はないもの、収益には大きな影響を与えそうだ。
今回の流出による損失額はわからないが、他企業の過去の流出事故から推測してみたい。
2014年に起きたベネッセの情報流出では、顧客へのお詫びとして200億円、情報セキュリティ対策費用として60億円、合計260億円の損失を出し、通年で赤字決算(2015年3月期)となった。
ベネッセでの流出件数は約3500万件、JTBは793万件と約4分の1から約5分の1だから、これより規模は小さくなるだろう。JTBにあてはめて単純計算すると、お詫び費用だけで40億円から50億円規模になるかもしれない。
しかしながら提携企業へのお詫びや、パスポート番号4300件が含まれており再発行の手数料を負担する可能性があること、また訪日した外国人観光客の個人情報を含んでいることを考慮すると、さらに損失が大きくなる可能性が高い。100億円以上の損失になることも考えられる。
JTBの2016年3月期の決算は、売上高は1兆3437億円もあるものの、営業利益は161億円で営業利益率はわずか1.2%しかない。旅行代理店は利幅の薄いビジネスであり、今回の流出によって利益が吹っ飛ぶこともありそうだ。