インシデントは起きる。
予防統制の限界
亀井 将博デロイト トーマツ リスクサービス
シニアマネジャー
リスクマネジメント体制構築支援、J-SOX関連業務支援、内部監査業務支援、事業継続計画(BCP)策定などを経験。2010年よりソーシャルメディアコンサルタント業務および内部通報制度関連業務に従事。金融機関、自動車関連、製造業、製薬業、保険業、食品製造業、サービス業など業種業態規模を問わずWebモニタリングサービス、および企業SNSの運営体制構築を支援。主な著書 「炎上リスク」に備えるWebモニタリングのすすめ方(中央経済社、共著)、「マンガ 銀行員のためのSNS利用ルール」(銀行研修社、共著)等
昨今の情報セキュリティに対する脅威の特徴は、予防統制の効果が薄れているという点が挙げられる。基幹情報システムから磁気テープなどを盗み出すといった、企業の資産を防衛する物理的な予防統制を効かせやすかった時代とは大きく異なり、たとえばハッカーによるネットワーク経由の不正アクセスは、被害に遭っていることすらわかりづらい。また、悪意の第三者による攻撃に限らず、私物のスマートフォン等を使用して、本来守秘の対象であるべき顧客情報を従業員が発信してしまう、といった自制心以外に有効な予防方法を見出だしにくいといった事例も多く発生している。
したがって、予防に多大な工数を投じたうえで、インシデントが発生したときにその予防の責任者を追及し改善させるといった従来の考え方のみでは、インシデントによる企業ブランドの棄損には合理的に対応できなくなってきている。つまり、現代の脅威に関しては、インシデントは起きる、という前提に立った危機管理対策の重要性がより高まっている。
対応速度の向上
もうひとつの特徴として、より高速な対応が求められるという点がある。著名人ではない一般人のなにげない投稿が1時間も経たぬ間に数万のソーシャルメディアユーザーに拡散するといった事例は枚挙に暇がない。インシデントに関する情報を懸命に秘匿しようとしても、一名の関係者による投稿によって周知となってしまう可能性も考えられるし、流出した情報が短時間で拡散し被害者が拡大していくという最悪の事態も絵空事ではない。以前はインシデント対応に一層の高速な対応を求められる業種といえば、食品や医薬などを中心に身体に健康被害を及ぼす可能性のある事業等に限られていたが、現代はあらゆる業種にその高速性が求められていると考えた方がよいだろう。
インシデントは起きる、という前提に立って、すばやく対応できるように危機管理体制を整備し訓練しておく必要がある。
出所:デロイトトーマツリスクサービス
