サイバーセキュリティ経営ガイドライン対応の“望ましい”進め方|サイバーセキュリティ.com

  1. ホーム /
  2. 法令・計画等 /
  3. サイバーセキュリティ経営ガイドライン対応の“望ましい”進め方
             

サイバーセキュリティ経営ガイドライン対応の“望ましい”進め方



今回から、ISO27001観点での「サイバーセキュリティ経営ガイドライン」の望ましい対応方法について解説して行きます。

まずは、経営者が認識する必要がある「3原則」についてです。

最大の課題は「経営者の理解」

対応を進めるにあたり、最初にして最大の課題が「経営者の理解」です。

どんなにサイバーセキュリティ対応の責任者が、「重要10項目」にしっかり対応していたとしても、どんなに最新のセキュリティ対策を施していたとしても、経営者の理解が無い場合、全てぶち壊しになりかねません。

B社の例

当時B社で施されていたセキュリティ対策は、小さな問題点は散見されたにせよ、一般的に見て決して低いレベルのものではありませんでした。しかし、処遇に対する不満から内部犯行に及ぶとなると、それを確実に止めることは出来ませんでした。

<参考>ベネッセ個人情報漏洩事件のすべて

まずここで、経営者は「漏洩を100%止めることは不可能」との認識を持つ必要がありました。そして、“起きた時どうするか”の想定が必要だったのです。

想定されるリスクは起こり得ます。限りなく“ゼロに近づける”ことはできますが、決して“ゼロ”にはなり得ません。

では、どうすれば良いか。別の例を思い出してみましょう。

ジャパネットたかたの例

情報漏洩事件を起こしながら、翌年売り上げを伸ばした事例があります。それが、通販大手のジャパネットたかたです。

個人情報保護法が施行される前の2004年3月、ジャパネットたかたは個人情報漏洩事件を起こしました。この事件直前には、Yahoo!が450万件の当時史上最大の漏洩事件を起こし「個人情報漏洩」に世間的にも厳しい眼が向けられていた頃です。

メディアに多数登場し自身が広告塔となっておられた当時の社長高田明氏は、「会社清算も考えた」と事件後に語っていましたが、情報漏洩の被害者である顧客に対しての姿勢は一貫しており、「これ以上失礼があってはならない」との考えの下、下記対策を講じます。

  • 自らテレビカメラの前に立ち状況を説明
  • グループ全体で原因究明と再発防止に取り組むと発表
  • セール期間中であったにも関わらず、全面的に販売を休止

この期間での機会損失は100億とも150億とも言われています。

結果、この対応が「ここまで徹底してやってくれるのか」「顧客を第一に考えている会社だ」といった“信頼”を勝ち取り、情報漏洩事件の翌年にはグループ全体で売り上げを200億以上伸ばしたのです。

経営者が正しい認識と判断に基づいて行動すれば、信頼回復は可能なのです。

3原則を認識する意義

ここで経営者が認識する必要のある「3原則」が絡んできます。

  1. 経営者のリーダーシップによる対策
  2. 委託先等も含めたセキュリティ対策
  3. 利害関係者とのコミュニケーション

B社が事件後の記者会見で行った対応が下記です。

  • 社長が、事件は“私の着任前のこと”として、詳しい経緯を担当者から説明させた
  • 事件は“子会社の委託先の犯行”とし、本体の責任を回避しようとした
  • 「賠償等は今のところ考えていない」と、利害関係者を無視した

この、“3原則に悉く反する会見”が傷口を大きくしたのです。

事件後初となる記者会見では、以下のように進めるべきでした。

  • 「着任前のことではあるが、現責任は私にある。私がリーダーシップを取って
    対策を早急に進めていく」
  • 「子会社の委託先管理が適切でなかった。反省し、管理体制を見直す。」
  • 「被害を受けたお客様に、補償も含め何とか納得いただけるだけの対応を検討
    する。」

最初から具体的な約束をすることは、現実問題難しいと思います。ですが、利害関係者が納得できるだけのことをするつもりですよという“姿勢”は見せられるはずです。

事件が起きてからでは遅い

もし、皆さんの会社で漏洩事件が起きたとしたら、経営者は以下の質問に“自分の口で”答えられるでしょうか。

  1. セキュリティ対策に対し、どのような指示を出していましたか?
  2. 情報を委託する際の規則と管理体制はどのようなものですか?
  3. お客様や株主に対し、どのようなお詫びをされますか?

突然言われても難しいですよね。

ですから、経営者は“普段から”サイバーセキュリティ経営の3原則をしっかり認識しなければならないのです。それができていないと、いざという時に経営責任を問われます。

3原則は言葉だけ知っていれば良いわけではありません。事件が起こった時に、この3原則に基づいた質問に、経営者がコメントできるか。この観点で対応を検討してみてください。

次回から、「サイバーセキュリティ経営の重要10項目」に絡む対策の進め方を説明して行きます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。