事件・事故対応に生かす実践的なコンプライアンスとは？：企業セキュリティをあるべき姿に（2/2 ページ）

[米澤一樹，ベライゾンビジネス]

対応策の実施

　事故・事件の発生が確実となった後には、直ちに事前に決定した手順に基づいて対応をする必要があります。その際には、要件12.9「インシデント対応計画を実施する。システム違反に直ちに対応できるよう準備する」が重要になります。人は概して、緊急事態においては少なからず動揺するものです。しかし、同時に多くの事柄を短時間にこなすことが要求されます。そのような状況下で、迅速で確実に対応するためには、事前に状況を想定して対応策を決定しておき、周知徹底するとともに普段からの訓練を怠らないようにしなくてはなりません。

　人は、体験した事柄や知っている事柄の範囲内と、その延長線上でしか行動できないものです。軍隊や警察、消防など緊急事態に対応することが目的の組織では、そうした考えに基づいて日常的に訓練を繰り返し行っているのです。彼らは行動をただ知るだけではなく、反復訓練によって「体に覚えこませる」ことで緊急時の的確な対応を可能にしています。企業でも同様に対応策を策定するだけではなく、反復訓練によって体に覚えこませることが必要です。

内部への対応

　対応策で意外に見落とされがちなのが内部への対応です。組織の動揺を防ぎ、組織として確実な行動を取るには、関係者以外の従業員への告知と行動の指示が重要になります。特に外部からの通報で検知された場合に重要です。外部から通報された時点で既に通報者以外の人間が事件・事故の発生を知っていることがほぼ確実であり、その人間が通報時点か、あるいはその前から既に問い合わせという形で従業員に接触してくることが予想されます。

　そのような問い合わせに従業員が個別に対応した場合は、組織として一貫性を欠いた対応になる可能性が高まります。一貫性を欠いた対応は企業の社会的評価を著しく傷つけ、最悪の場合は企業の存続にも影響しかねません。事件・事故あるいはその少なくない可能性が検知された場合には、直ちに下記のように告知して一般の従業員にも事態の発生を認識させ、必要な指示を与えることが必要になってきます。

　○月△日に、当社の顧客情報が漏えいしている可能性が外部から指摘されました。現在、経営企画部、情報システム部、総務部が外部調査会社と共同で事態の把握に努めております。今後、新たな情報が入り次第お知らせしますが、従業員の皆様には動揺することなく、通常通りの業務に従事して戴くことをお願いします。

　お客様からの問い合わせに対しては、「コールセンターと法人営業部が引き受けております」とお伝えいただき、電話の転送（コールセンター 代表内線：XXXX、法人営業部 代表内線：YYYY）に協力をお願いします。また、報道機関からの問い合わせに関しては、「広報部の□□が窓口になっております」と回答し、電話の場合は転送していただく（内線：ZZZZ）ようお願いします。

　社内外においては、個人的な会話でも十分に注意し、「目下調査中であること」と「問い合わせにはコールセンター、法人営業部、もしくは広報部の□□が窓口であること」以外のことは友人・知人はもとより、家族・親族に話すことも自重していただくようお願いします。

　ここで重要なのは、（1）事件・事故が発生したことと現在対応中であることを簡潔に告知する、（2）不用意に動揺しないように指示する、（3）外部からの問い合わせにはしかるべき権限を持った者が一括して対応するので自らの判断で対応しないよう指示する、（4）外部からの問い合わせ窓口を明示して問い合わせがあった場合には転送するように指示する、（5）家族・親族や友人・知人との個人的な会話においても必要以上のことは話さないように協力を依頼する――の5点です。

　こうすることで、組織として一貫した対応を行う体制を固められ、同時に従業員の動揺を抑えられます。「獅子身中の虫」という言葉があるように、組織は内部からの動揺や崩壊には非常に弱いものです。これは非常時において特に顕著になります。組織内部を固めることは、外部への対応を確実に行うこと上での欠くことのできない土台になります。

外部への対応

　内部を固めたらいよいよ外部への対応です。具体的には、（1）顧客への対応、（2）関係官庁・業界団体への対応、（3）報道機関を通じた社会全般への対応――の3つになります。内部への対応が防戦として位置付けられるのであれば、外部への対応は防戦であると同時に反転攻勢とも位置付けられます。誠意を見せて事態を収拾することが第一ですが、同時に企業に対する不当な非難を封じ、最終目的として「危機に強い企業」のイメージを確立して、顧客をはじめとした社会からの信頼をより強いものにすることを目指すべきでしょう。

　顧客への対応は大きく分けて、（1）事実を伝える、（2）陳謝する、（3）保障内容を提示する、(4）再発防止への取り組みを約束する――の4点になります。その土台として重要なことは「一人ひとりのお客様に誠意を持って語りかける姿勢」を貫くことです。対応の対象となる顧客数が多くなればなるほど、一人ひとりの顔が見えづらくなるのは事実ですが、対応される顧客からすれば数の多寡にかかわらず、当人の一大事であることに変わりありません。

　従って、あくまで一人ひとりに面と向かって接するつもりで対応することが重要です。実際に一人ひとりに面と向かって接することが有効なのは言うまでもありませんが、数が多くなると現実的でないというのも残念ながら事実です。そのような状況でも顧客に面と向かって接そうとしている姿勢が顧客の不安や不信感を和らげることにつながります。もちろん、その誠意の上に前記の４点が明確に示されていることも重要です。被害の状況調査の進ちょくによっては、前記の（1）、（3）、（4）の内容が十分なものにならない可能性もありますが、その際には鋭意取り組んでいることを伝え、必要に応じて続報を伝えることで事態の悪化を防げるのです。

　関係官庁・業界団体への対応は、規制産業で重要になります。個々の産業で要求されている内容は異なりますのでここでは詳しく述べませんが、当該官庁・団体で規定された内容に基づいてタイムリーに行うことが必要になってきます。

　最後に報道機関を通じた社会全般への対応ですが、これは報道機関の体制と要求内容を慎重に吟味して内容とタイミングに細心の注意を払うことが必要になります。その際には、従来の取り組みやこれからの対策方針を踏まえたものにすることが重要です。PCI DSSの1〜12の全要件はその良い提供材料となるとともに、企業が不当な非難にさらされることを防ぐ手立てにもなります。

---

　セキュリティの事故・事件での有効な対応を実現していく土台には、PCI DSSにあるような各要件を確実に実施していくことがあり、再発防止策においても重要です。「もしもの時に役立つ実践的なコンプライアンス」の実施に日々取り組んでいただきたいと思います。

筆者プロフィール

プロフェッショナル・サービス部シニア セキュリティ・コンサルタント。情報セキュリティや情報資産管理に関する総合的なプロジェクトのマネジメント、サービスインテグレーション、電子商取引、事業継続対策に関わるソリューションなどを担当。情報システムセキュリティ協会(ISSA) 東京支部長・支部長連絡会アジア太平洋地区代表、CISSP行政情報問題製作委員会メンバーなどを務める。国内初の「CISSP-ISSAP」保有者の一人でもある。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

コンプライアンス | PCI DSS | セキュリティ対策