ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ危機のとき
企業のブランドはどう守るべきか

デロイト トーマツ リスクサービス
【第8回】 2017年12月27日
著者・コラム紹介バックナンバー
previous page
3
nextpage

第一段階 被害拡大の防止
 第一段階の被害拡大の防止は、インシデントの発生を認識した当初に必要となる対応であり、被害拡大を防止しようとしているという姿勢を外部に示すべき段階である。事例でいえば、顧客の機微情報の漏洩に気づき、流出した情報の種類や規模を特定しようとしている段階であろう。

 この段階では、組織はともすれば、正確な情報把握や原因特定に傾注してしまいがちになる。もちろんそういった情報の正確な把握や原因特定は極めて重要であるが、それと同じぐらいあるいはそれ以上に大切なことは、顧客に被害が生じる可能性はないのか、という点である。

 顧客の視点で見れば、もし自分の機微情報が洩れているのであれば、正確でなくてもよいのでできるかぎり早く知らせてほしい、そして、その機微情報の悪用により想定される手口を教えてほしい、という要望を自然に思いつく。しかし、組織の視点に埋没すると、不確かな段階で自組織の悪評を生む可能性の高い情報を開示したくない、というごく自然な防衛本能が働く。この防衛本能が勝ってしまった場合の最悪のシナリオは、顧客の被害抑制よりも自組織の防衛を優先した隠ぺい行為をする組織、というレッテルを貼られてしまうことである。

 また、情報流出が内部者の犯行であることが疑われる場合は、証拠隠滅や逃走を警戒して当局から開示を抑制される場合もある。しかし、一部の顧客がすでにその兆候を把握し、企業の開示前にすでにSNS等で話題になってしまった、ということが過去の大きな情報流出事例で確認されている。こういった不測の事態を避けるためには、たとえば有事にすぐに起動できるSNSのモニタリング機能を普段から準備しておくことが必要であり、そのモニタリング機能を用いて監視する要員の確保といった体制整備も必要になる。図表3に第一段階で必要となる具体的な行動例を示す。

出所:デロイトトーマツリスクサービス

第二段階 お詫び・釈明
 第二段階のお詫び・釈明の目的は、インシデントに関するより精緻な情報を開示することで、これ以上の被害の拡大の懸念がなく、現状復旧と再発防止を誠実に検討している、という安心感をより多くのステークホルダーに与えることである。よって、被害に関する具体的な情報開示が強く望まれている第一段階において、このお詫び・釈明がほとんどを占めるような情報の開示を行ってしまうと、謝意を示すことで被害をごまかし、あわよくば逃げおうそうとしているのではないか、との批判を受け逆効果になるケースもある。

 また第二段階では、ともすればより先鋭的な批判の発生を避けたい、というごく自然な防衛本能が働いてしまう。しかし、インシデントを発生させたのであれば批判は当然である。批判に正対し批判を集め、後の回復段階のために分析するという姿勢で対応することが望ましい。また、仮にお詫び・釈明を記者会見などマスメディアによる取材をとおして行う場合はそれ専用の準備と訓練が欠かせない。図表4に第二段階で必要となる具体的な行動例を示す。

出所:デロイトトーマツリスクサービス
previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧