信用失墜だけでなく
加害者になることも
このようなケースでは、「被害者が加害者になり得る」と、AIG損害保険 企業賠償保険部 経営保険戦略課の中村友二マネジャーは警告する。
「サイバー攻撃を受けた企業は被害者ですが、取引先に被害が及んだ場合は、(取引先から見れば)加害者ともいえるのです。自社が踏み台にされた場合、当然、取引先からサイバー攻撃の手口や被害状況など詳細な報告を求められますが、それは社内で対処できるレベルではなく、対応を誤ると取引停止に発展する恐れもあります」
加えて22年4月から施行された改正個人情報保護法では、一定の要件のもと個人情報漏えいが発生したときは、個人情報保護委員会に報告するとともに、本人にも通知することが義務化された。
「そのため信用失墜はもとより、漏えい対象のお客さまへのお詫び状の作成と送付費用、お客さまからの問い合わせに応対するコールセンターの開設費用、謝罪広告費用などが必要になり、損害賠償金の負担も相当な額が見込まれます」
では、サイバー攻撃を受けた場合、企業はどのように対処すればいいのだろうか。企業が保有する個人情報が漏えいした場合を例に具体的に見ていこう。中村氏は「三つのステップがある」と話す。
第1ステップは、サイバー攻撃を受けたことを認識したとき。「デジタルフォレンジック」と呼ばれる被害状況の把握、証拠保全、証拠の調査などを行う。デジタルフォレンジックは電子鑑識と訳されるように、「刑事ドラマに登場する鑑識の役割を果たします。専門家による鑑識を経ないと、個人情報漏えいの状況がつかめず、委員会への報告も個人への通知もできません」。
デジタルフォレンジックを自社で行うことは難しく、セキュリティコンサルティング会社に依頼することが一般的だ。ところが、セキュリティの専門家は数が限られる上に、数多くの依頼を抱えており、「何カ月も待たなければならない状況です。さらにデジタルフォレンジック費用は、高額でパソコン1台当たり100万円程度といわれています」。
第2ステップは、個人情報漏えいが発覚したとき。この段階では被害者対応が重要になる。「漏えい対象者にメールで謝罪するわけにはいきません。書面を作成してお詫びと今後の対処方針を伝えたり、監督官庁等に対する報告書を作成したりする必要があります。自社ホームページ上での適切な事実説明や経過報告も行わなければなりません」。この作業も自社だけの判断で進めることは難しいだろう。
第3ステップは、被害者から慰謝料などの損害賠償請求、取引先から損害賠償請求(求償:取引先が負担した被害者への損害賠償金や事故対応した費用の賠償請求)をされたとき、弁護士に依頼して和解交渉をしたり、裁判による解決を図ることになる。この場合は賠償金や争訟費用がかかる。
