「当社の情報が漏えいしました」──世間へどう発表すべき？ タイミングは？ セキュリティ専門家に根掘り葉掘り聞いてみた

●被害発表＝制裁にしない

吉川：逆にお二人からこれを発信しておきたい、と思うことはありますか。

木村さん：セキュリティに限らない、クライシスコミュニケーションの話なのですが、何かあった際の発表の仕方って、企業としての責任が問われるし、それが露呈する場だと思うんです。場合によっては印象が上向くこともあれば、下がることもある。

　これを踏まえて思うのは、先ほど話した通り、被害の公表が社会的な制裁・処罰になってはいけないなと。記者会見を開いて頭を下げる映像はインパクトがあるので「またやってるな」と思ってしまうかもしれないんですが。

吉川：自分はITmedia NEWS以外にもいくつかのメディアで書き手をした経験があるのですが、セキュリティに限らず具体的な原因、経緯より「誰々・どこどこが謝罪した」という話題の方が注目を集めやすい傾向は確かにあると思います。

木村さん：特に文字のメディアであれば対策情報などたくさんの情報を伝えられると思いますし、そこまで踏み込んで説明できるといいと思います。とはいえ、記者だけでは難しいのが実態とは思いますので、当事者の企業が専門家と一緒に、どうすれば社会のためになる情報を発信できるのか、考えて伝えられればいいのかなと。

山口さん：内部不正はまた別ですが、誰が悪いかと言えばハッカー（攻撃者）なんですよね。ひと昔前は、ちゃんと防御・対応できていなかった企業が悪いという風潮があったのですが、今はある程度攻撃者が悪い、という意識が醸成されつつあるとは思います。もちろん、企業も説明責任を果たすための対応をきちんとしていなかった場合には、その責務を負わなくてはいけないと思うのですが。

木村さん：あとは、被害者救済につながる情報はあってしかるべきかなと。昨年「データセキュリティ法の迷走」という洋書を翻訳したのですが、米小売大手Targetの漏えい事例を巡り「大々的にセンセーショナルに報じられ、株価は下がって、人も辞めていき、当局からの賠償金もあったが、それって被害者の救済につながったのだろうか」という問題意識が書かれていました。同様の考えは社会的にも重視すべきではないかと。

吉川：被害者救済の点はその通りですね。また「インシデントの発表がありました。それに対する制裁や社会的な反応がありました。で、社会はその反省を生かして前進したのでしょうか？」という点は、情報の発信者・受信者を問わず考えるべきポイントなのかもしれません。