「当社の情報が漏えいしました」──世間へどう発表すべき？ タイミングは？ セキュリティ専門家に根掘り葉掘り聞いてみた

山口さん：実際にインシデントが起きたとき、企業としてどのように動くべきかを確認するサイバーセキュリティ演習のようなものがあります。（インシデント対応の）現場のみでやるケースもありますが、経営層、広報、法務、人事、総務なども集まって被害の状況を整理し、セキュリティ担当者以外も含めてどう対応すべきか検討する形の演習も多くなってきています。

吉川：いわゆる「サイバーレジリエンス」（サイバー攻撃を受ける前提で、被害を最小限にとどめて早期にシステムを復旧させるための考え方）ですね。自分も同様のケースを取材したことがあります。やはりその重要性も高まっていると。

山口さん：経団連や関係省庁の動きからしても、経営層がサイバーセキュリティを認知して対応すべき、という理解が世間的にも広がってきています。また10年前と比べると、株主や記者もサイバー攻撃に敏感になっています。

　例えばインシデントがあったとき、社内情報がマスコミを通して漏れてしまうと、結果として企業は説明責任を果たしにくくなる。インシデントが発生した際にはこういう対応をしました、と（企業自ら）説明責任を果たせるかどうかも、訓練の有無で変わると思います。

吉川：セキュリティインシデントに限りませんが、他社媒体でもトラブルの後に「実は○○社が原因だった！」と示唆する報道をよく見かけますね。確かに、最悪のケースの一つかもしれません。

●会見？　Web？　正しい発表の場は

吉川：次に、インシデントを発表する“場”についての考え方をお聞かせください。先ほど全7レベルの対応を見せていただきました。ただ、自分としては特にレベル4～6は大きな違いがない印象です。SNS時代ですし、Web上の発表は誰かに見つけられるので「発表をしない」「Web上で発表する」「会見をする」以上の差を見いだせないなと。この辺りはどう切り分けられるのでしょうか。

山口さん：公表の必要がない事態は別として、あまり大ごとにしたくないが、公表しないことによるレピュテーションリスクも抱える企業が、レベル4～5で済ますことはあるかなと。

吉川：確かに、記者向けに情報が送られないパターンでは、気付くのが遅れることはありますね。結局はSNSなど記者自身の情報網で気付きはしますが。では、会見をするしないの判断はどうなるのでしょうか。

　あくまで個人的な感覚ですが、数十万～数百万件規模の漏えいや、億単位の金銭的被害があると「会見はいつだ」という声が見られる気がします。人命や税金がかかわる医療・教育・自治体などは例外ですが。