情報漏洩はひとたび起こしてしまうと、組織や企業の信頼を大きく失墜させ、場合によってはその存続を危うくさせるような事態にも発展してしまいます。

特に近年多く発生しているような大規模な個人情報や顧客情報の流出は、TVや新聞などのマスメディアにも大きく取り上げられるため、一般国民に広く知れ渡ることとなり、よりダメージが大きくなります。

昨年のベネッセコーポレーションの大規模な個人情報流失事件では3504万件もの個人情報が協力会社社員によりDM業者等に流出してしまったのですが、この事件など連日にように報道され、社に大きな影響を与えることとなりました。

ベネッセ個人情報漏洩事件のすべて<企業は加害者?それとも被害者?>
2014年7月、ベネッセホールディングスの子会社ベネッセ・コーポレーション(以下ベネッセ)にて大量の個人情報が流出しました。東京オリンピック開催に向け「アノニマス」を始めとする日本企業を狙ったサイバー攻撃が増加している現在、もちろん外敵に対する対策は必...

このように情報漏洩はいったん引き起こしてしまうと、そのダメージは計り知れない者となり、失墜した信頼を回復させるのに多大な苦労と時間が必要になります。

しかし、万が一に情報漏洩が起こってしまったらどうすればよいのでしょうか。
ここではその万が一の事態が発生してしまった際の対応について考えてみたいと思います。

情報漏洩が発生してしまったら

まず情報漏洩が発生した場合にとるべき対策の最大の目的は「情報漏えいによる直接的・間接的被害を最小限に抑える」ことにあります。
情報漏洩による自社や自組織、そして取引先や関係先への悪影響は最小限にする必要があります。
もちろん、漏洩により全く影響がないということはあり得ず、多少なりの影響は確実に受けるでしょう。
しかし、それが大きくなりすぎると組織の存亡に関わってしまいます。影響を最小限に減らすために重要なことは以下の5つの原則です。

実施すべき5つの対処法

1  被害拡大防止・二次被害防止・再発防止の原則

漏洩した情報によって犯罪等が行われるなどの二次被害を避けること。
そして同じような事件を再発させることがあってはありません。

2  事実確認と情報の一元管理の原則

正確な情報の確実かつ適切な把握と一元的な管理を必ず行います。

3  透明性・開示の原則

必要な場合に際しては、情報の透明性を確保し公開を適切に行います。

4  チームワークの原則

問題の解決には組織的に対応することが必要です。

5  備えあれば憂いなしの原則

情報漏洩発生時を想定してあらかじめ体制等を整備し、訓練等を行っておくことが望ましいです。

影響を最小限に減らすために加えて重要なことは、これらの対応を迅速かつ適切に行っていくことです。
対応をより迅速に行うことで影響は確実に減らせるはずです。では、その流れを情報漏洩が発生したと仮定してみていきましょう。

情報漏洩が発生した場合のシミュレーション

20XX年10月21日、インターネット通信販売業大手A社の顧客情報が外部業者に流出しているとの匿名の情報がA社に寄せられました。

A社ではこれを受け、下記の対応を行います。

  • 即日社長指示により各部署の人員から構成される緊急対応チームを設置
    4:チームワークの原則 、組織として対応する
  • 事実確認と情報の収集を開始した上で、すべての情報が同チームで一元管理できる体制を構築
    2:事実確認と情報の一元管理の原則

チームでの調査の結果、翌々日の23日に以下の事実が判明しました。

  • 情報は出入りの派遣会社の社員によって故意に持ち出された
  • 件数は3500程度と見られる

チームとしては、この情報を踏まえ、さらに調査を行ったところ流出情報は4200件程度で、それ以上の可能性はほぼないと断定できました。
そこで、チームはA社情報部と協議の上、以下を行うことに決めました。

  • 大手通信販売会社である社の特性上、事実はすべて正確に公表し、お客様からの信頼の失墜を最小限に食い止める
    3:透明性・開示の原則
  • とるべき対策を示し、迅速かつ確実に実施することを発表
    1:被害拡大防止・二次被害防止・再発防止の原則
  • 派遣会社社員による犯行の可能性を踏まえ、警察に被害届を提出し捜査を依頼

A社は24日のメディア各社にて以下の発表を実施し、関係各社に対してお詫びを行うとともに、再発防止策についても以下のように行うと発表しました。

  1. 情報漏洩が発生し、件数は4200件。これ以上はない。
  2. 原因は出入りの派遣会社B社の社員による故意の持ち出しである。
    これについては警察で現在捜査中であり、詳細は差し控える。
  3. A社では、今後、二度とこういったことが無きよう以下の対策を実施する。
  4. 個人情報は特定の適切な権限を持つ社員しか触れない組織体制とする。
  5. 個人情報を保管するシステムは社内ネットワークとは切り離し、システム的に特定の社員のみ扱えるようにする。

さらにA社内では、今後の再発防止のための情報セキュリティに関する規程を改めて策定し直した上で、年一回の運用状況の確認と見直しを必ず実施するものとしました。

加えて、定期的に情報流出を想定した全社的な訓練を実施することで社内全体の情報漏洩に対する意識の向上をはかるとともに、万が一の再発においても迅速かつ適切に対応出来ることを目指しました。

A社は情報漏洩により顧客からの信頼を損なうこととなりましたが、その後の迅速かつ適切な対応、そして何よりも自らの絶対に再発させないための数々の改善策が功を奏し、少しずつ顧客の信頼を取り戻すことが出来、再び事業を円滑に行っていくことが出来るようになりました。

まとめ

このように、情報漏洩は組織にとって信頼を損ない、場合によっては存続の危機にまで陥ることもあるほどですが、発生時に対応を誤らず適切かつ迅速に対処することで、その影響を最小限に減らすことが可能です。
それゆえに、日頃から万が一を想定した訓練と、発生時の体制を明確化しておくことが非常に重要です。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。