特集
» 2005年03月10日 08時00分 公開

個人情報が流出 有事のときの危機管理:第3回 事故発生時の対応のポイント (3/3)

[丸山満彦,ITmedia]
前のページへ 1|2|3       

1.優先順位付け

 原因の究明は被害拡大防止のため、しっかりと対応しなければならない。しかし、限られた経営資源の中での対応となるため、優先付けを行いながら対応しなければならない。ほかのセキュリティ事故に比べると個人情報の漏えい事件は対応の優先順位が高いといえる。

 一般に、対応のための優先順位は、「被害が顕在化した場合に組織に与える影響(評判や金銭的補償など)」の観点から考えるとよい。信用情報、医療情報などの機微な個人情報が漏えいした場合は、社会または本人に与える影響が大きいため、とりわけ優先的に対応する必要がある。

2.原因の究明

 対策の優先順位が決まれば漏えいの発生原因の調査にかかる。被害の拡大を防ぐために早急に原因を究明し、対応することが望まれる。ログを採取しているのであれば、そのログを検査することにより、情報漏えいの原因となる脆弱性(内部統制の不備)を究明することができるはずである。

 ログを採取していない、またはログからは漏えいの原因が分からなかった場合は、情報漏えいにつながる脆弱性を把握し、それらの脆弱性の中から可能性が高いものを選ぶことになる。

3.本人への対応

 本人に対して情報を提供するだけでなく、本人からの問い合わせにも応じる必要がある。本人からの問い合わせ窓口を作り、受け付けることになる。電話、メール、FAXなどの窓口の設置が考えられるが、とりわけ電話窓口の設置は欠かせないだろう。大量の情報漏えい時などは十分な回線数を確保しておかなければ、電話がかかりにくくなり、新たな苦情の元となるので注意が必要である。

 なお、対応の局面で情報が漏えいした本人に「お詫び代」を支払うかどうかということを気にする人もいるが、お詫び代はあくまでも気持ちの問題であり、損害賠償とは異なる。お詫び代を支払ったことにより、民法上の責任がまったくなくなるわけではない。また、多額のお詫び代を考えもなく支払うと株主の利益を損ねることになり、株主代表訴訟の原因にもなり得る。

 また、お詫び代の支払いが、自らの非を認めたということにつながりかねない。そのため、お詫び代に関しては「他社が行っているから」という安易な理由で行うべきではない。

再発防止策の検討・実施

 原因の究明が終われば、個人情報の漏えいにつながる脆弱性に対する対策、つまり内部統制の整備、運用を行い、再発防止策を導入することになる。すぐにできる対策(物理的、予算的、運用上の制約があまりないもの)は即座に実行すべきである。また、物理的、予算的、運用上の制約があるものについては、導入計画を立案し、対策をしていくことが肝要である。

原因・再発防止策などの公表など

 再発防止策の導入計画ができ、本人からの問い合わせもピークを過ぎ一段落すると事件の終結宣言をすることになる。その際には、事件の概要をまとめて主務大臣に報告、本人に通知することが望ましい。また、状況に応じて、Webページ、新聞などに「社告」を出すなどして公表する。実際は、終結宣言の後も新たな事実の発覚や、本人からの問い合わせが続くことになる。しかし、終結宣言をし、内外にも一段落をつけることが重要である。

 今回は、個人情報の漏えいが発覚した場合の具体的な対応について説明した。実際は、状況が刻一刻と変わり、対応の内容も順番も今回の説明どおりにはいかない場合も多い。前回説明したとおり、事前の訓練が重要となる。次回は、消費者、社会、行政への対応のポイントを説明する。

参考サイト
NIST SP-800 61 Computer Security Incident Handling Guide/(米国標準技術局 SP800-61 コンピュータセキュリティ事件対応ガイド)

丸山満彦(監査法人トーマツ)

公認会計士 シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ