特集

情報セキュリティ事故に関するリリースのポイント

▼セキュリティ事故が起きたら
今月の特集は、情報セキュリティ事故の発生に関するリリースの方法です。セキュリティ事故が起きた際には、原因の調査や被害者及び関係者への報告・発表が不可欠となります情報公開の考え方とノウハウについて簡単に解説します。

 

▼いつ出すべきか
情報セキュリティ事故は、発覚後の社内の対応はもちろん外部への情報提供も迅速に行わなければなりません。なぜなら、事故の被害者や関係者にとって事故発生を知らされていない状態はそれだけで不利益であるからです。

しかし、発生事実を速やかに公表するとはいえ、内容が分からないリリースをしても不安を煽るだけですから、ある程度の情報を揃える必要があります。どのような情報が揃えばリリースできるでしょうか。

 

▼どのような項目を出すべきか
少なくとも以下の項目を含めて情報を公開しましょう。

Point1:被害の範囲
・対象者
・情報の項目(例:氏名、住所、クレジットカード番号)
・件数(正確な対象人数を特定するのが困難である場合には最大人数を書く)
事実と可能性を切り分けて正確な情報を提供しましょう。

Point2:原因
技術的原因や人為的な原因があります。また、原因は複合的な場合がほとんどです。直接的な原因と間接的な原因を分析して記載しましょう。

Point3:経緯
発生から、発覚、対応、公表までの時系列を明確にしましょう。

Point4:発覚後に実施した措置
発覚後に被害拡大を防ぐための応急措置を実施することが多いと思います。可能な限り具体的に記載しましょう。

Point5:今後の見通し
現時点で詳しい情報を提供することができない場合は、続報を出す旨を記載しておきます。

Point6:問合せ先
事故に関する問合せが来た時の社内の対応について事前に確認しておきましょう。

 

▼考え方とポイント
情報セキュリティ事故に関する情報公開においては、情報の正確さと迅速さ以外にも大事なポイントがいくつかあります。

Point1:被害者や関係者の不安を解消する
代理店や委託先が被害者に説明しなければならないケースもあるため、パートナー各社が説明しやすいように配慮するとよいでしょう。問題が発生した箇所以外(例:不正アクセスが発覚していない他のサービス)についても、問題がないか説明した方がよいかもしれません。被害者や関係者に向けてFAQ形式で情報を公開することも有効です。

Point2:全社的に取り組む姿勢を見せる
発生した事故について会社の代表者が重大な問題として認識し、全社的に対応していることを示すことが重要です。

Point3:根本的な再発防止策を講じる
応急措置だけでは根本的な原因を除去できない場合があります。再発防止のための今後の対応について説明しましょう。対策が有効であるか検証するために外部の専門家の協力を仰ぐことも必要かもしれません。対策実施後、対策の詳細を続報として報告します。

Point4:社内で情報を共有する
情報公開後に寄せられた質問を一元的に社内共有することでお客様対応を均質化できます。

Point5:他の会社にとって有益な情報を提供する
他社で発生したセキュリティ事故は、自社で同様の事故を起こさないための参考情報となります。
特にオープンソースの技術については、利用者のコミュニティにとって有益な情報を提供できるように意識するとよいでしょう。

Point6:その他
上場企業の場合、業績への影響について記載が必要になります。

 

会社によって、また事故によって様々な固有の事情がありますから、ここまで述べたことはあくまで一般論ですが、情報セキュリティ事故がいつ起きてもおかしくないという認識を持って、いざという時に必要な対応を一度確認してみてください。