一般社団法人 日本リスクコミュニケーション協会 Risk Communication Institute of JAPAN

資料の請求

協会の活動や講座についてお知りになりたい方

説明会に参加

迷った方はまず無料オンライン説明会へ

RCIJマガジン

RCIJマガジン

RCの基礎知識もし情報漏えいしたら、どう対応すればいいか?【情報漏えい時のリスクコミュニケーション実践】

2021.11.11

先日IT関係のイベントにお声かけいただき、「情報漏えい時のリスクコミュニケーション」についてお話しする機会がありました。オンラインでしたが、質疑応答だけで30分ほど長い尺のやりとりがあり、参加者の関心の高さを感じました。
せっかくなので、今回はイベントのために作った資料をいくつか使って、情報漏えいやサイバー攻撃といった事態が起きた時、企業やブランドを批判や炎上から守るための、リスクコミュニケーションの実践について、以下内容をご紹介したいと思います。

・対応順を学ぶワークショップ
・情報漏えい時のリスクコミュニケーションで抑えておきたいポイント
・平時の備えに必要なこと

対応順を学ぶワークショップ

さて、問題です。

あなたの会社が運営するWebのクレジット支払いサイトに、第三者による不正アクセスが確認されました。顧客の信用情報を含む重要情報が流出した可能性があります。この後、どんな手順で対応しますか?

もしあなたが担当者だったら、次のAからHまでどのような順番で対応しますか?

最近のリスクコミュニケーションの世界では、危機を感知してから出来れば12時間以内、最低でも24時間以内に第一報を出すことを推奨しています。
第一報までの時間は年々短縮しており、これはSNSなどが普及する中、情報拡散のスピードが上がっていることが背景にあり、もし検知や発表が遅れてしまうと、隠蔽や対策不足などの批判を集めてしまう可能性が高まってしまうからです。

注:
フォレンジック調査:インシデントの全容を解明するためにおこなう、犯罪の証拠となるファイルを特定したり、サーバから不正アクセスの記録を見つけ出す調査のこと
ファイアーウォール:ネットワーク通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みのこと

以下は対応順の一例です。

この初動対応でのポイントは、先ほどご紹介したように、危機を検知してからBまでの第一報を最低でも24時間以内に行うことです。これを実現するために、危機感知から2時間以内に、対応チームに共有されるように備えておく必要があります。(以下タイムライン例を参照)

有事の対応は時間勝負です。近年最もリスクコミュニケーションの対応が評価されたグットプラクティスとして、2020年に起こった東証のシステム障害では、危機を検知してから市場が開く直前に売買停止を決定。そこからわずか7時間36分後に記者会見を開催しています。

情報漏えい時のリスクコミュニケーションで抑えておきたいポイント

情報漏えいが起きた時のリスクコミュニケーションで最も抑えておいた方が良いポイントは、充実した継続的な情報開示です。

・不正アクセスの状況
・不正アクセスされた(可能性のある)情報(情報の内容、件数・人数等)
・これまでの調査経緯と対策
・会社としての今後の対応
・業績への影響
・本件に関するお客様からのお問い合わせ先
・システム調査・フォレンジック調査結果
・不審な電話、メール、手紙、訪問への注意喚起
・第三者委員会又は再発防止委員会設置の有無と委員名・役割開示
・第三者委員会又は再発防止委員会調査結果
・本件に関するメディアからのお問い合わせ先

とにかく、これらの情報を迅速に集め、出来るだけ頻繁に積極的に公開しましょう。例え同日に複数回、情報公開することになっても全く問題ありません。メディアを含むステークホルダー達が知りたい情報が、早ければ早いほど、開示されていればいるほど、ツッコミどころがなく、レピュテーションリスクの沈静化につながるからです。

2021年7月2日、アメリカKASEYA(カセヤ)社がサイバー攻撃を受けた時は、CEO自らYouTubeで声明を出し、動画公開で情報開示しています。著者が知る範囲では、国内でまだこのような例を見たことがありませんが、記者会見を開催する選択肢の他に、このようなコミュニケーション戦略は、今後広がっていくかもしれません。

そして、判断に迷ったら内部ではなく、消費者など、外部のステークホルダー目線を意識するという点を覚えておけば、対応を誤る可能性は低くなります。経営トップが対応の失敗について真摯に反省し、常に消費者目線で応えられるスタンスを示すことが重要です。危機的な状況だからこそ、トップが包み隠さず、正直に、誠実に、頻繁に情報をアップデートしましょう。

平時の備えに必要なこと

冒頭で紹介したAからHまでの初動対応の内容を見ると、実にさまざまな対応を同時に行う必要があることがわかります。平時の備え以上のことは有事に出来ません。

情報漏えいを含むリスクイベントに迅速に対応できるよう、平時から、万が一危機が起きた時にどうするか、以下内容のような取り決めをしておくことをお勧めします。

・誰が集まるか?
・どこに集まるか?
・どうやって集まるか?
・何を情報収集するか?
・何を意思決定するか?
・コミュニケーションツールはどうするか?
・第三者委員会の設置基準はどうするか?
・専門家チームの編成はどうするか?
・事前のプロセス、⼿順、報告基準、テンプレなどの準備と訓練

またメディアを含むステークホルダー別に、どのようなリスクがあるか把握し、それぞれコミュニケーションツールをあらかじめ決めておくことと良いでしょう。登場する全てのステークホルダーを抽出、対応のために必要な情報、対応の手順等を管理できるように備えておきます。

自社の現状の情報セキュリティの状態や、実際に何から手を付けたらいいのかが分からない場合は、独立行政法人情報処理推進機構(IPA)が提供する「情報セキュリティ自社診断」 などを参考に、取り組みをはじめてもいいかもしれません。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/5minutes.html

経産省「サイバーセキュリティ経営ガイドライン」もサポートになります。
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
もし、方針策定や事前準備のプロセス、テンプレの用意など難しい場合、予算に余裕があれば、外部サービスを活用してもよいでしょう。

本稿を読んでいただいた皆さんの、リスクコミュニケーションの取り組みにおいて、参考にしていただければ幸甚です。

(執筆者:代表理事 大杉春子)

日本リスクコミュニケーション協会(RCIJ)では、企業をレピュテーションリスクから守る人材の育成を行っています。
専任カウンセラーによる無料相談も行っておりますので、まずは気軽にお問い合わせください
contact@rcij.org

 

RCIJ専任コンサルタントによる
個別無料相談会を実施しています

個人の方はキャリア相談や受講相談など、法人担当者の方は企業研修や、
会員種別などについて、ご質問を個別にオンラインでお答えします。
どうぞお気軽にお申込みください。

.