ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

そのセキュリティ問題、
あなたの会社は公表するのか、しないのか

プライスウォーターハウスクーパース
【第8回】 2015年12月15日
著者・コラム紹介バックナンバー
previous page
2
nextpage

公表に踏み切るかどうかは
経営判断が必要

●公表するのか、しないのか?

 経営視点での意思決定が最も求められるのは、インシデントを世間一般に公表すべきかどうかの判断においてだろう。個人情報漏洩インシデントのケースにおいて、「経済産業省の個人情報保護ガイドライン(平成26年版)」では、公表の目的は二次被害の防止と類似事案の発生回避のためとされている。情報漏洩したすべての個人と連絡がつけば、公表を省略しても構わないという方針も示されている。

 ただし、インシデントの公表を機械的に判断できる基準は存在しないため、ガイドラインや過去の公表事例を参考にしながら、最終的な判断はマネジメント層に委ねられる。セキュリティ統括部門には、公表に係るマネジメントの意思決定に足る情報を収集し、整理することが求められる。

●いつ公表するのか?

 最近の公表事案では、その内容と意思決定の迅速さに変化が見られる。これまでは、公表に踏み切るのは個人情報等の情報漏洩が伴うインシデントが発生した場合に限られていたが、最近はマルウェア感染しただけでも公表する事例が出てきた。インシデント発覚の翌日に公表する事例も増えている。

●どのような公表手段を取るべきか?

 公表方法についても事前検討が必要である。主な公表の方法は、1)Web公表、2)プレスリリース、3)記者会見、4)謝罪広告の4つだ。これらは図に示すような包含関係にある。よほど社会的に影響度の大きなインシデントでない限り、まずはWeb公表やプレスリリースを速やかに行い、その反応次第で次の打ち手を考えるのが一般的だろう。

このような動きを鑑みると、どのようなインシデントを公表するかについて一定の基準をあらかじめ社内で設けることと、発生翌日の公表を前提としたプロセス(公表手段を含む)を定めておくことが、マネジメント層が迅速に意思決定するための最善の備えとなるだろう。

出典:PwC
previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧