セキュリティ対策費用の算出根拠については、コンピュータの導入による業務の効率アップ効果が算出しやすいケースと異なり、その効果を金額で算出することは難しい。
また、セキュリティ・レベルを高くしたいと思っても、どの程度のセキュリティ強度を持たせれば十分なのか、セキュリティ強度を高くしたために、手続きが面倒になってユーザがルールどおり使わなくなっては意味がないなど、3要素のバランスのとり方は非常に重要であると共に難しいところである。
米国では、セキュリティ対策にかけるコストの算定基準として、一般的に利用されている方法が、その対策をとらなかったために受ける可能性のある被害の額から算出する方法である。とるべきセキュリティ対策を怠ったことにより訴えられる訴訟費用、書き換られた不正情報により生じた損害額、サービス停止時間やバックアップに要した時間など過去の被害、将来の可能性などが、セキュリティ予算の算出根拠となっているケースが多い(表-1)。
また、ICSA社による平成11年のセキュリテイ・コストに関する調査結果が一つの目安を示している。この調査では、企業などのほか、連邦の関連機関や地方自治体などの公的機関129団体を対象としており、産業別に、PC1台当たりのセキュリティ予算を算出している。公的機関におけるPC1台当たりの平均セキュリティ予算は、$486となっている(図-2)。
日本の地方公共団体においては、そのセキュリティ対策にかけるべき費用の算出根拠を見つけることは困難ではあるが、住民の個人情報を取扱う機関として、民間企業以上にその扱いに対する信用に応えることが最重要な責務であることを考えると、セキュリティ確保のためにかけるコストは必要不可欠なインフラととらえていく必要があろう。
