情報セキュリティにおける「危機管理」の正解は?アメフト騒動から考えてみよう|サイバーセキュリティ.com

情報セキュリティにおける「危機管理」の正解は?アメフト騒動から考えてみよう



世間ではアメフトの意図的なラフプレーに端を発する、”大学のガバナンス”の問題が騒がれています。当該大学に「危機管理学部」なる学部が存在しているにも関わらず、事件に対する大学の危機管理がなっていないということも話題になっていますね。

このような不祥事に対する「危機管理」の基本的な考え方は、情報漏洩などの事件でも変わりません。今回は、情報セキュリティの事件を起こしてしまった際、”どう対応すべきか”について解説します。

組織の至上命題を認識し、優先順位を決める

まずは、基本の基本。”組織のガバナンスが目指すものは何か”を認識します。

これは、マネジメントの本には大抵載っていますね。「永続的発展」や「持続的成長」などと書かれているものです。表現を変えると「利害関係者に必要とされ、さらにその利害関係者を増やしていくこと」と表すこともできます。

優先順位をしっかり決めておく

組織のガバナンスが目指すものが何かを認識することで、事件が起きた場合に取るべき行動の「優先順位」が想定できます。

  1. 被害を受けた利害関係者の信頼を可能な限り損ねないこと
  2. 被害を受けていなくても、影響の強い利害関係者の信頼を損ねないこと
  3. 被害を受けておらず、影響も弱い利害関係者の信頼を損ねないこと
  4. 現在は利害は無いが、将来的な利害関係者になり得る者に信頼のできる組織であるとの印象を与えること

優先順位を間違えてしまったアメフトの事例

今回のアメフトの件で、関係者が取るべき行動の優先順位は下記の通りです。

  1. まずは被害者と相手チームに謝罪
  2. 連盟に報告
  3. 内部の人間を守る方策を考える
  4. 記者会見

しかし実際には…?優先順位の低い「3. 内部の人間を守る方策を考える」から始めてしまったために、自分達を守る姿勢ばかりに注目が集まり、バッシングが高まってしまった、ということになりますね。

まずは被害者への連絡と謝罪

万一、皆さんの組織で情報漏洩事件が起きてしまったら、まず優先しなければならないのは「被害者への連絡と謝罪」です。

場合によっては被害拡大を防ぐために、被害者に作業してもらう必要があるかも知れませんよね。(ID・パスワードが漏れたなど)「全容が分かってから」などと言わず、判明した被害者からどんどん連絡を取るべきです。ここを躊躇してしまうと、“対応が遅い”などの批判を受けることになります。

サイバー攻撃による漏洩であっても「加害者」の姿勢で

また、たとえサイバー攻撃を受けたことによる情報漏洩だったとしても、「自らは加害者」の姿勢を崩してはなりません。漏洩の被害者から見れば、あくまで加害責任は漏洩企業にあります。

攻撃を受けようと、下請け企業がやろうと、一部の者の行為だろうと、あくまで責任は漏洩企業にあります。企業代表者名での謝罪をしなければなりません。

今回のアメフトの件で言えば、一運動部の事例であったにしても、「大学の責任です」と最初に宣言すべきだったのですね。ガバナンスの責任は大学にあるのですから。

この「初動」を失敗することで傷口を広げる事例は多々あります。

影響を受けるかもしれない関係者へ連絡

「被害者への連絡・謝罪」の次に、”事件の影響を被りかねない関係者”に連絡を取ります。関係省庁、加盟団体、取引先等ですね。自分達のせいで影響を与えてしまうことを謝罪します。

一つの組織が情報漏洩することで、”同業他社も漏洩してるのではないか”と世間が感じてもおかしくないですね。

年金機構が事件を起こせば「他の公的機関は大丈夫なのか」、JTBが漏洩事件を起こせば「JTBですら起きるなら、他の旅行会社はもっと危ないんじゃないか」…という話は当然出て来ます。業界全体への迷惑や取引先の不安に対して謝罪を行いましょう。

「内部対策」は被害者・関係者への対応が終わってから

影響のある利害関係者の信頼を損ねないよう対策を取ったうえで、内部対策に入ります。株主への配慮や、従業員へのフォロー、そして原因究明などです。

“原因究明をしてから…”は間違い

原因究明は必要ですが時間がかかります。「原因究明をしてから発表しようと考えていた」という話もよく聞きますが、これは間違いです。

なぜなら、「二次被害」や「風評被害」が起きる可能性があるからです。ID・パスワードが漏れたなら、他のサイトで使いまわしているかも知れません。噂が噂を呼び、とんでもない話が独り歩きしてしまうかも知れません。

まずは「事件が起きた」という事実を発表することを優先すべきなのです。

原因究明の優先は長期的視点ではマイナスしかない

また、この段階での言い訳で「原因究明に影響する可能性があった為、発表を遅らせた」ということも割とあるのですが、これは危機管理としては誤りです。

なぜなら、組織ガバナンスの最終目的が「永続的発展」である以上、重要な利害関係者の信頼を損ねることの方が、長期的視点から見るとマイナスだからです。何より先に見せるべきは「重要な利害関係者を守る姿勢」であって、事件の原因ではありません。

もちろん、すぐに原因を特定し発表できるのであれば、それに越したことはありません。が、そこまですぐに原因究明ができるような組織であれば、そもそも簡単に事件は起こさないですよね。

プレスリリースは後回しでも構わない

被害者が相当数に上るのであれば、一件ずつ連絡するよりもプレスリリースをした方が良いかも知れません。その方が被害者の気づきが早いですから。

しかし、被害者や関係者への連絡がすぐに済むのであれば、プレスリリースは少々後回しでも構わないでしょう。現在、利害関係が無い人対しすぐ情報を提供する必要はありませんよね。早いに越したことはありませんが、利害関係者への対応以上に優先する必要はありません。

最後に

以上が、本来の組織ガバナンスとしての情報セキュリティ危機管理の概略です。ポイントは「何を守るのか」を履き違えない事。そこさえ間違えなければ、情報セキュリティ事件も怖くありません。

誰しもが「自分たちの組織でも情報漏洩は起きるかも…」と思っているのです。ですから、やるべきことをやっていれば、そうそう批判は大きくなりません。むしろ評価を上げる事すらあり得ます。

今回のアメフトの件のように、批判が大きくなるには”それなりの理由”があるのです。


SNSでもご購読できます。