“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

辻氏：基準を設けるっていうのは、指標が明確になるメリットもあるんですけど、その基準を超えるいいものが生まれなくなるというデメリットもある。難しいですね、そこは。

●良いレポートに倣え　被害発表のあるべき形

北條氏：話は変わりますが、経営者には自社で発生した事象について説明責任がありますよね。きちんとステークホルダーに対して説明をしないといけない、という点から始めなければならないのに、まず、自分たちの責任が問われないように縮小化する、あるいは隠すという選択を取ってしまう。こういうことは日本だけなんですかね。

辻氏：いや、海外の被害発表を見ていても、同じような傾向はあります。いいところはずばぬけて素晴らしいものがあります。ここ4年ほどでは、多少厳しい目で見ていますが、心底素晴らしいと思える対応は3件ほどです。全部海外で、アメリカが1件、ノルウェーが2件。

・Lessons Learned from a Global Ransomware Attack | Finalsite Blog

・Norsk Hydroで発生したRansomware被害についてまとめてみた - piyolog

・Volue Releases Postmortem Report on Cyberattack ? Volue

北條氏：サイバー攻撃を受けた企業は確かに被害者にはなるわけですが、色々な情報を預かっている企業でもあるわけですよね。そのような情報の本来の持ち主に対して責任を負わなくてはいけないので、適切な被害公表をすべきでしょうね。

　そのため、そうではない被害公表に対しては、厳しい目を向ける、というのが本来あるべき姿なのではないでしょうか。ステークホルダーである顧客・ユーザーや株主も、そこに気付き始めてくれれば変わるのでしょうかね。

辻氏：過去にちゃんとしたレポートが出てなかったら投資しないとか。聞かれた時に「セキュリティ上の理由でお答えできません」と言っている場合ではないような状況になるべきだと思っています。

北條氏：株主に聞かれたとしてもそのような回答をする企業もいますよね。本来、そんな免罪符は存在しないですし、「どこがセキュリティの問題なのか？」と聞いても回答は返ってこないでしょうね。

●「資格をとった」は信頼につながらない？

北條氏：とはいえ一般的にセキュリティと信頼というのは、どうしても担当者が持っている知識の質と量に偏りますよね。