情報漏えいが疑われる場合の対応方法

IT・情報セキュリティ

 当社のカスタマー担当者宛てに、当社にしか明らかにしていない名義とメールアドレスの組み合わせで、他社からの連絡が来ているという苦情が相次いでいます。私は取締役として総務を担当しているのですが、果たすべき役割と、その役割を果たす際に平時より検討すべき事項を教えてください。

 平常時には、情報漏えいが疑われる場合に対応するプログラムが、効率的に作用するかの演習を行うことが推奨されています。具体的には、事案発生時に企業の危機管理のルートにどのように載せるのか、載せた場合にはどのような方針に基づき、どういったステップを展開していくのかを確認することになります。
 実際に情報漏えいの発生が疑われる際には、情報漏えい対応プログラム(もしくは、危機管理プログラム)を発動し、それに則った対応を行います。

解説

目次

  1. 情報漏えいが疑われる場合のシミュレーション
  2. 情報漏えい対応の基本原則
  3. 危機管理プログラムの発動と実施

情報漏えいが疑われる場合のシミュレーション

 設例のように状況を想定し、情報漏えいの場合をシミュレーションして、その場合にどのように対応するかを事前に検討し、対応のためのプロセスを確認するとともに、その対応のもれを確認する演習を、机上演習(テーブルトップ・エクササイズ)といいます。もし、情報漏えいがおきてしまった際には、普段やっていることしかできないばかりか、普段やっていることも満足にできず、普段やっていないことは絶対にできません。

 また緊急時には、その企業の(もしくは、対応する人の)素顔が見えるものであり、しかも、その素顔は強い印象を与えます。ですから、普段からこのような演習を行うことによって、情報漏えいが発生した場合の経営陣における対応の手順を確認し、場合によっては、足りないところを改善していく活動を行うことは、有効な準備といえます。

情報漏えい対応の基本原則

 情報漏えい対応のために関係者が心がけておかなければならないポイントを確認することはきわめて有意義でしょう。対応のための原則は以下になります。

(1)「備えあれば憂いなし」の原則
(2)「事実確認と情報の一元管理」の原則
(3)「チームワーク」の原則
(4)「被害拡大防止・二次被害防止・再発防止」の原則
(5)「透明性・開示」の原則

 机上演習でもって、情報漏えいのための対応のプログラムを事前に確認することは、まさに、(1)「備えあれば憂いなしの原則」にあたるものです。

危機管理プログラムの発動と実施

 設例では、「苦情が相次いでいる」という情報漏えいを伺わせる事情が生じています。この際、カスタマーセンターの責任者はどのような場合に、経営陣に情報漏えい対応プログラムの発動の可能性があることを伝えるべきでしょうか。これは、事前に定めておくべき事項といえます。

 情報漏えい対応プログラム(もしくは、危機管理プログラム)が発動されるという決断がなされた場合には、そのプログラムに従って、対応がなされることになります。プログラムの進行は、以下のようなステップを経由します。

漏えい対応のステップ

 情報漏えい対応の基礎をなすのは、事実関係についての正確な情報把握です。これを「調査」と表します。以下の図は、正確な情報把握が、特に上記原則の(5)「透明性・開示の原則」に基づいて、非常時の利害関係者の意思伝達を支える様子を示しています。

コミュニケーションの事実調査

 この調査による正確な事実をもとに、「発見および報告」「初動対応」「通知・報告・公表等」「抑制措置と復旧」「事後対応」などのそれぞれのステップを経ることになります。 

  • 発見および報告:情報漏えい発覚の契機や、具体的な対応のための準備を行うことをいいます。
  • 初動対応:情報漏えい事件対応チームが、漏えい事件発覚の経緯を契機として、事件が起きていたかを確認。その事件の重要性を位置づけ、対応戦略を決定することを指します。また、被害の拡大を防止するために必要な緊急処置を行います。
  • 通知・報告・公表等:利害関係者等に対し、情報漏えいについて事故・事件の発生および組織の対応状況の事実を開示する手続きです。
  • 抑制措置と復旧:情報漏えいによって発生した被害の拡大を防止し、その被害を回復するプロセスです。事件対応の最大の目標ということもできるでしょう。
  • 事後対応:事業を回復させるとともに、情報漏えい事件によって発生した諸問題についての被害の拡大阻止・回復をはじめ、関係各位に対する法的責任・説明責任を果たしていく活動をいいます。

 情報漏えいの対応の詳細については、高橋郁夫ほか「デジタル証拠の法律実務Q&A」315頁、321頁(日本加除出版、2015)1 で、さらに詳細な事項は、筆者の記した独立行政法人 情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」44頁以降(2007年5月)2 で検討できます。ぜひあわせてご参照ください。

 また、情報漏えいに対する机上演習プログラムは、メディア対応についてのトレーニング、技術的な面も含めて行われるようになってきています。そのようなプログラムを体験してみるのも有意義でしょう。


  1. 高橋郁夫ほか「デジタル証拠の法律実務Q&A」315頁、321頁(日本加除出版、2015) ↩︎

  2. 独立行政法人 情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」44頁以降(2007年5月) ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する