本論文では,情報セキュリティマネジメントシステム(ISMS; Information Security Management System)導入に際して,人件費を含めた情報セキュリティインシデントコストを定量的に把握する方法を提案する.情報セキュリティインシデントやそれに対する複数の是正・予防措置を,限られた予算枠内で実施するために,各施策の緊急度や重要度の比較に利用可能な指標が必要となる.インシデントにより発生する損失額は重要な指標の1つである.損失額としては,インシデントによる逸失利益や壊れた機器などの直接的に発生した損失と,原状回復費用などを合わせて算出すべきである.活動基準原価管理などの作業時間管理を含む個別原価管理を採用している組織では,人件費を含めてイベント毎のコストは原価として把握可能であるが,そうではない国立大学法人においては,個々のインシデントのコスト算出は極めて困難である.しかしながら,このような組織内でも一定の基準単価を定めて作業項目別の所要金額を算出する事は可能である.これらの所要金額の合計値をインシデントコストとみなす事により,インシデント間の大きさの比較が可能となる.ここで算出されるコストは,国立大学法人の会計基準に則った経費を算出するものではなく,インシデント相互の比較の為の定量的数値として意味をもつものである.山口大学では,提案方式をISMS構築において適用し,その効果を確認した.
