スイーツパラダイス、クレカ情報漏洩と遅れた公表 なぜ防げなかったのか：不正アクセス誘う中小企業の弱み（3/4 ページ）

[高橋睦美，ITmedia]

情報漏洩の公表タイミング、最適解は？

　スイーツパラダイスオンライン、そしてその前後に発生した不正アクセスによる情報漏洩事件を見ていてもう1つ気になるのが、攻撃が発覚してから公表に至るまでのタイムラグです。今回の件に限らず、やはり3カ月から半年、時には連絡を受けてから1年以上経ってようやく調査を終え、公表に至った自動車用品販売のアクセスのような例まであります。

　井上商事に対し、ログが消去されていたなどの理由で調査に困難を来したのかを尋ねたところ、「不正アクセスの手段等の詳細につきましては、申し上げることができません」との返答でした。これも、先ほど述べた、中小企業がかかるITシステム運用の問題点に起因しているのかもしれません。

スイーツパラダイス店舗（同社公式Webサイトより）

　同社はプレスリリースの中で、「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました」と述べています。この文面、どこかでテンプレート化されているのか、あちこちで見かけます。もし情報漏洩の当事者がこうした知らせを受け取ったならば、混乱はしないけれども、不信感は抱くのではないでしょうか。

　それはともかく個人情報漏洩の場合、不正アクセスを受けた企業は被害者でもありますが、情報を預かっていた顧客に対しては加害の一端を担った存在でもあります。広く一般に公表するのは調査結果がまとまってからとしても、被害を受ける恐れがある顧客や関係者には、速さを優先し、被害回復に向けた情報を提供していく方が、むしろ混乱や不信を招かぬ姿勢のように思えます。

スイーツパラダイス店舗のショーケース（同社公式Webサイトより）

　参考になりそうなのが、かつて「あさま山荘事件」が発生したとき、現場で指揮を執った佐々淳行氏が取った方法です。この事件は全国のマスコミが注目し、テレビや新聞の報道陣数百人が取材に詰めかけたそうです。一方で、人質の人命がかかっている事件でもあり、情報の公開には慎重を期す必要がありました。その中で各社が特ダネを狙ってバラバラに取材していては混乱が深まるばかり……ということで、決まった時間に発表を行うことにし、発表すべき事項がなくても「状況変化なし、発表事項なし」と定時報告を行うことで信頼を得ていったそうです。