不祥事対応・緊急事態対応トピックス
総合研究部 上席研究員 宮本知久
今回から『企業不祥事・緊急事態対応トピックス』を通じて、皆様にお役立ち情報を発信してまいります。
弊社では、企業不祥事発覚時・緊急事態発生時における対応方針の策定から対応チームの設置、公表やメディア対応、被害者への謝罪対応の実務支援、再発防止策の策定に至るまで、事態の発生から収束、再発防止のためのコンプライアンス・リスク管理体制構築を支援しております。
このコラムを、ぜひ皆さまの会社での危機対応体制強化、リスクマネジメント強化にお役立てください。
はじめに
このコラムの掲載日は8月のお盆休み明けにあたる。長期休暇中は不正アクセス、サイバー攻撃が増加傾向にあり、自社が攻撃の被害に遭っていないかの点検が欠かせない。皆さまの会社で点検は済んでおられるだろうか。過去、経済産業省、総務省、警察庁、内閣官房サイバーセキュリティセンター等の行政機関も注意喚起を呼びかけている。9月にも連休を控えており、今後のためにも長期休暇明けに行うセキュリティ対策を簡単に紹介したうえで、不正アクセスによる情報漏えいの不祥事・緊急事態が起きたときの対応のポイントを紹介する。また、最近、弊社に「情報漏えい事案が起きたときの備えとして、対応マニュアルを作りたい」という問い合わせをいただくことも増えており、この機会にマニュアルの構成(もくじ等)を紹介する。ぜひ皆さまの会社での危機対応体制強化に役立てていただきたい。
1.長期休暇期間明けのセキュリティ対策
長期休暇明けのセキュリティ対策について、独立行政法人情報処理推進機構(IPA)が公表している対策を引用し簡単に紹介する。
なお、仮に情報漏えいや滅失が起きているとすれば、後述の緊急対応をとらなければならない。すなわち漏えい対象者への通知や公表を行うことになるのだが、その際、会社は「いつ被害を認知し、そのあといつ通知したのか」の説明を要する。「長期休暇明けの点検を怠って被害の認知が遅くなりました」という説明を行う(このように説明せずとも感じ取られる)ことは、非難やクレームを招きかねない。
【長期休暇明けの主なセキュリティ対策】
- 修正プログラムの適用
- 定義ファイルの更新
- サーバ等における各種ログの確認
- 持ち出した機器等のウイルスチェック
- 休暇中に受信して溜まっているメールのうち不審なものに特に注意
- 長期休暇期間中に電源を落としていた機器に関する対策
- ソフトウェアに関する脆弱性対策の実施
- 不正プログラム感染の確認
※これらはサプライチェーンも含めた点検を推奨
▼長期休暇における情報セキュリティ対策 独立行政法人情報処理推進機構 2023年8月3日
2.不正アクセス等による情報漏えい事案対応の手順
個人情報漏えいを起こした会社は、個人情報保護法等法令の定めで、原則、漏えい対象者に対し通知(お詫びと説明、注意喚起)を行わなければならない。また会社は社会の一部であり、その事業を営むにあたっては健全性が求められる。不正アクセスによって漏えいした情報量が多量で社会に説明責任を果たすべき事案の場合、事案内容や再発防止策等を、誠実かつ丁寧に社会に説明する必要がある。不祥事を起こした会社、被害者を生む要因を作った会社として、ステークホルダーからの信頼回復、ブランドイメージの回復等に向け、順次、対応を取るべきであり、これらの目的と理由により事案対応を推進する。
情報漏えい事案対応の原則的な手順は下表のとおりである。なお従業員によるメールの誤送信、内部者による情報の不正持ち出しなども情報漏えいだが、想定は「第三者の不正アクセスによる個人情報の漏えい」にしている。世間で不正アクセスが多発していることや、一度に大量の情報を抜き取る手口であり、漏えいの規模が大きいためである。
【情報漏えい発覚から収束までの流れ(10段階プロセス)】
| 段階 | 項目 | 説明 |
|---|---|---|
| 1 | 発覚 | 情報漏えい(または漏えいのおそれ)が発覚 |
| 2 | 応急対応
被害拡大防止措置 |
ネット回線を遮断するなど、漏えいを止めるための応急措置。被害発生原因により防止措置が異なる |
| 3 | 行政対応 ~初報~
警察対応 |
個人情報保護委員会等に漏えい事案発生と初動で確認できている被害状況等を報告
委員会ホームページから報告書フォーマットを取得 |
| 4 | 対応チームの設置 | 事案対応のチームを作り役割分担を決める |
| 5 | 通知と発表の準備等 | 事実と原因の調査、被害主体の特定、対応方針・再発防止策の検討・リリース文作成・コールセンター設置など |
| 6 | 通知と公表 | 漏えい対象者にメール等で通知、ホームページで公表等
通知開始、公表後は問い合わせや情報削除要請に対応 |
| 7 | 行政対応 ~確報~ | 個人情報保護委員会等に事案の対応結果を報告
30日以内(不正アクセス等は60日以内) |
| 8 | 個別の苦情・補償問題対応 | 漏えい対象者からの苦情や補償要求の対応 |
| 9 | 再発防止策の定着化 | セキュリティ体制の強化、従業員教育研修など
*再発防止策の着手は原因究明完了後、速やかに実施 |
| 10 | 収束 | 通知の完了と個別補償問題の完了に伴い収束 |
事案によって違いはあるが原則的にはこの手順に従い、先行して着手できる作業は先行(または同時並行)で推進する。
弊社の経験から、会社にとって実務作業の負担が大きいのは「5 通知と発表の準備」で、漏えい対象者の特定、対象者別の通知方法の整理、ホームページ公表文の作成、問い合わせ窓口の設置、想定問答集(Q&A)の作成など相当の作業量とタイムプレッシャーを伴う。
また、悪質な事案では、準備中に、攻撃者が会社を脅迫したり重ねて攻撃を仕掛けたり、不正取得した情報をネット上に晒したりといった、二重、三重の応急対応を並行で行うことになり、臨機応変な判断と対応が求められる。
3.通知と公表準備の最中で起こしやすい失敗~コンサルティング実績からみる対応の注意点とポイント~
情報漏えい事案対応の実務にあたっては、前掲の10段階の手順ごとにみても多くの注意点とポイントがあるが、紙面も限られるため、弊社のコンサルティングの実績から、現に会社が起こしやすい失敗を踏まえ、4つを取り上げて紹介する。
(1)「通知」作業の想定漏れに注意
事故が発生した会社から弊社に寄せられる相談の第一声は、「いつホームページに公表すべきか」「公表文の作成をサポートしてほしい」と“公表”に関するものが多い。不祥事を発表するわけなので経営への影響を考えれば当然でもある。また、事故に携わったことがない人にとっては、他社による対外的な公表、つまり外から事故を見たことしかなく、内で行っている作業を知ることがほぼないことも、公表に関心が高い理由だろう。もちろん公表も極めて重要で、公表の仕方を誤れば会社への非難やクレーム、信頼低下等、大きな影響を与える。
しかし、漏えい事案対応においては公表だけでなく、漏えい等の対象者に対する「通知」も重視すべきである。通知とは、漏えい対象者(被害者)に「あなたの個人情報が漏えいしてしまったので、犯罪等の被害に遭わないよう、注意してください」という趣旨のメッセージを、電子メールや文書で何らかの方法で知らせることを指す。
通知の目的は、対象者本人に自分の権利利益の保護のための防衛に向けた注意と行動を取ってもらうことある。対象者本人からみれば、会社から何も通知されないと自分の個人情報が漏えいしたことを知ることは難しく、自己防衛を講じられなかった結果、二次被害に遭うことが起こりえるわけで、漏えい事案を起こした会社の責任として通知が求められるのである。このような理由から、個人情報保護法は漏えい等を起こした会社(個人情報取扱事業者)に対し、通知を義務付けている。つまり通知は義務なのだ。
一方、個人情報漏えいにおいて公表の役割は、通知を届けられない対象者での代替手段と位置づけられている。不正アクセスで大量に個人情報が漏えいした事案では公表も必須と考えたほうがよいが、通知は一部の例外を除いて義務であるため、必ず準備が必要である。
余談だが、事案を起こした会社にこれらの助言をしたあと、「ええ・・・公表だけではだめなのですか。何万人もいる対象者への通知は作業量、コスト、反響予想を考えて負担が大きいので、公表だけで済ませられませんか・・・」と相談を受けることがある。だが通知は法規の求めであり、通知と公表の両面で準備を進める必要がある。
3-5-4 本人への通知(法第26条第2項関係)
法第26条(第2項)
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
規則第10条
個人情報取扱事業者は、法第26条第2項本文の規定による通知をする場合には、第7条各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第8条第1項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。
▼参照リンク
3-5-2 漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合は、漏えい等事案の内容等に応じて、次の(1)から(5)に掲げる事項について必要な措置を講じなければならない。
(5)個人情報保護委員会への報告及び本人への通知
※(1)~(4)は筆者が省略。
▼参考リンク
(2)漏えい対象者の特定作業漏れに注意
続いて、漏えい対象者の特定作業、すなわち通知すべき人の絞りこみ作業についての注意点とポイントを述べる。弊社の経験上、対象者の特定作業は漏れが多い。
要点を述べると、不正アクセスを受けたデータベースに保管していた “すべての個人情報の本人”が対象であることを見落としている会社が多い。
例えば「A氏が取引先から注文書や契約書を預かったあと、すべてPDFにしてデータベースに保管していた。これらの書類には計100人分の個人情報が書かれている。今回の不正アクセスによってこのPDFも漏えいした」といった場合、A氏に通知することはもちろん、各書類に書かれている100人も対象者であって、通知しなければならない。(対象者数は101人となる)
また、通知すべき個人情報の見落としにも注意してほしい。「個人顧客リストを用いて漏えい対象者を特定する作業を進めていたところ、商品の購入者と配送先の双方が漏えいの対象であるが、配送先が別となる購入が稀なので見落とした」といった失敗がある。
【見落としの例】
| 住宅リフォームメーカー | |
| Bさんが申込と契約を行い、Xさん宅の工事を行った。
↑Xも通知対象者なのだが見落とした。 |
|
| 事務用品の通信販売 | |
| Cさんが会社の窓口担当者で登録されているが、品物の発送先はCさんの部下にあたるYさん宛である。
↑Yも通知対象者なのだが見落とした。 |
|
| 化粧品の通信販売 | |
| Dさんが贈り物として購入し、品物の発送先はZさんである。
↑Zも通知対象者なのだが見落とした。 |
|
(3)通知方法の準備不足に注意
通知の準備を進めるにあたり、前項の対象者特定作業に併せて、通知の方法をパターン分けして検討する。
どの方法を用いて通知するかを決めるにあたり、通知の到達速度と労力、コスト等を考え、優先順位を「①電子メール→②お詫び状の郵送→③電話→④謝罪訪問」の順とすることが多い。
3-5-4-4 通知の方法
「本人への通知」とは、本人に直接知らしめることをいい、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない(2-14(本人に通知)参照)。また、漏えい等報告と異なり、本人への通知については、その様式が法令上定められていないが、本人にとって分かりやすい形で通知を行うことが望ましい。
【本人への通知の方法の事例】
事例1)文書を郵便等で送付することにより知らせること。
事例2)電子メールを送信することにより知らせること。
▼参照リンク
優先順位の考え方はこのとおりだが、誰にどの方法で通知するかは、“実際に、その対象者にどの方法で通知できるか”を調べて選別しなければならない。
弊社のコンサルティングでは「通知方法整理表」で、必ず整理することをおすすめしており、例を紹介する。
【通知方法整理表 サンプル】
| 通知可否等の区分 | 通知方法 | 人数 | |||||
|---|---|---|---|---|---|---|---|
| 個人情報が漏えいした人(漏えい対象者) | ― | ~ | |||||
| うちメールアドレスの情報がある人 | メール | ~ | |||||
| うちメール送信後、エラーで返ってきた人(※) | ― | ~ | |||||
| うち住所の情報がある人 | 詫び状 | ~ | |||||
| うち住所情報が不完全な人・郵便が届かなかった人 | ― | ~ | |||||
| うち電話番号の情報がある人 | 電話 | ~ | |||||
| うち電話番号の情報がない人 | ☆ | ~ | |||||
| うち住所も電話番号も情報がない人 | ☆ | ~ | |||||
| うちメールアドレスの情報がない人 | ― | ~ | |||||
| うち住所の情報がある人 | 詫び状 | ~ | |||||
| うち住所情報が不完全な人・郵便が届かなかった人 | ― | ~ | |||||
| うち電話番号の情報がある人 | 電話 | ~ | |||||
| うち電話番号の情報がない人 | ☆ | ~ | |||||
| うち住所も電話番号も情報がない人 | ☆ | ~ | |||||
| 個別対応が必要な人(重要顧客で謝罪訪問や来社対応が必要な人) | 訪問 | ~ | |||||
☆通知の代替手段としてホームページを読んでもらう
(※)通知開始以降に、表に記入する。
また、通知方法整理表を作る目的は、各対象者にどの方法で通知できるかの把握のみならず、次のように対応自体の労力と収束を予測するためでもある。事案の規模が大きければ対応コストも大きく、詳細な予測を立てるうえでも表での整理は重要である。
- 通知完了まで何日かかるのか(期間の検討)
- 通知作業に何人必要か(対応要員の検討)
- 準備にどのくらいの時間がかかるか(時間コストの検討)
- 郵送コスト・書類封入コストはいくらか(金銭コストの検討)
- メール文や詫び状は何パターンのフォーマットが必要か(実務ツールの検討)
- 問い合わせ窓口対応に何人必要か(反響の予想・対応要員の検討)
(4)単位の誤認による計数間違いに注意
意外な注意点を紹介する。
情報漏えい事案のみならず不祥事対応では何かの対象を数えるときに「件」という単位が多用される。誤認につながりやすく、人数なら「人」、電話番号の数なら「番号数(普段は使わないがこう呼ぶほうが間違いは起きにくい)」、メールアドレスの数なら「メール数」のように解釈に差が生じにくい単位で数えるのがよい。先に触れたとおり、エクセルの一覧表を用いた対象者の計数に抜け漏れが起きやすい要因は、表のレコード(行)を「件」と数え「行は件と同じ、つまり人数だ」と誤認してしまうことにもある。
製品自主回収など他の不祥事の参考として「個」「ロット」なども注意したい。「回収対象個数1,000個」と数えていたが、この1個は「個包装の菓子6個の箱入りセット」を指しており、個包装3個入りセットや個包装1個販売も回収対象なのに数え間違えた、という失敗がある。この例では「箱」と「個」を分けることがよいだろう。
4.情報漏えい事案対応マニュアルの構成(もくじ)
おわりに、情報漏えい事案対応マニュアルのもくじを紹介する。備えあれば憂いなし。皆さんの会社での危機対応力強化、情報セキュリティ強化に役立てていただきたい。
付け加えると、有事を想定して平時の情報セキュリティの検討をお願いしたい。「改めて保有している情報をリスト化して把握する」「インシデント対応のコスト試算を行う」「委託先の監督を強化する」といった対策を、“実際にインシデントが起きたときの被害の規模を想定して”詳しく検討してみてほしい。
【個人情報漏えい事案対応マニュアル(もくじ)】
第1部 個人情報漏えい事案の対応
Ⅰ 個人情報漏えい事案 対応の目的
Ⅱ 発覚から収束までの流れ
Ⅲ 発覚パターン
Ⅳ 応急対応・被害拡大防止措置
Ⅴ 行政報告(初報)
Ⅵ 対応チームの設置
Ⅶ 発表の準備等
1 社内調査・対象者特定作業
2 外部調査
3 対象者特定作業・通知方法の
4 リスクシナリオ作成
5 ホームページ公表文の作成
6 適時開示文の作成
7 お詫び状、メール文の作成
8 問い合わせ対応体制の整備
9 被害者への個別対応・削除要請対応
10 再発防止策の策定
11 従業員への周知と教育
12 危機対応ファイナンス
13 弁護士への相談
14 専門家への相談
15 対応方針の決定
16 通知方法とスケジュールの決定
Ⅷ 発表と通知の対応
Ⅸ 行政報告(確報)
Ⅹ 個別補償問題対応
Ⅺ 収束
第2部 事案別 ワークフロー
事案1 メールやFAXの誤送信
事案2 社外での置き忘れ、盗難、誤廃棄
事案3 不正アクセス
事案3 委託先による情報漏えい
事案4 システム障害
【参考資料・文書サンプル】
対応フローチャート
対象者一覧表
通知方法一覧表
ホームページ公表文サンプル
通知メール文サンプル
サポート会社 連絡先一覧表
今回ご紹介した情報漏えい対応事案の対応ポイントを、皆さまの会社での危機対応力強化、情報セキュリティにお役立ていただきたい。
