「当社の情報が漏えいしました」──世間へどう発表すべき？ タイミングは？ セキュリティ専門家に根掘り葉掘り聞いてみた（1/4 ページ）

「自社でインシデントが起きました」「サイバー攻撃を受け情報漏えいが起きました」の適切な発表の仕方とは？　情報を広げる当事者である記者と、インシデント発生時の情報開示に関するコンサルティングを手掛けるセキュリティ企業で話し合った。

[吉川大貴，ITmedia]

　「この会社、情報漏えいしたのに、説明が全然なってないな」──情報セキュリティインシデントが日常化した昨今。企業や自治体などによる“情報漏えいのお詫びとお知らせ”を見て、こう感じたことはないだろうか。そしてもし、自分の勤め先でインシデントがあったとき、同じ目で見られない自信はあるだろうか。

　SNSが発達し、インシデントの発表がレピュテーションリスクにつながり得るこの時代。“世間への伝え方”は、企業・組織のイメージや株価、そして信頼を保つために、無視できない要素になりつつある。もちろん、事態を未然に防ぐのも大事だが、可能性をゼロにはできない。

　もし「自社でインシデントが起きました」「サイバー攻撃を受け情報が漏えいしました」という事態に陥ったとき、世間にどう伝えるのが適切か。NRIセキュアテクノロジーズでインシデント発生時の情報開示に関するコンサルティングを手掛ける山口雅史さん（コンサルティング事業統括本部長）、木村匠さん（シニアセキュリティコンサルタント）、そして情報を広げる当事者として記者（吉川）の三者で議論した。

山口雅史さん（左）、木村匠さん（中央）、記者（右）

被害の発表、適切な考え方は　まず前提を整理

　まず、山口さんと木村さんに聞いた、情報公開に関する基本的な考え方を整理しておく。

　インシデントに関する情報公開は、対象や目的に応じて大きく2種類に分けられるという。一つはインシデント対応に必要な情報を集めたり、他の組織に同じ被害が及ぶことを避けたりするために、専門組織やセキュリティ系コミュニティー間でなされるクローズドな「情報共有」。もう一つが、法的な要求を満たしたり、ユーザーや社会への説明責任を果たしたりするための「被害公表」だ。今回は主に後者を扱う。

「情報共有」と「被害公表」の違い（NRIセキュアテクノロジーズのブログから引用）

　2人によれば、被害公表の基準は、インシデントの規模や種類によって7レベルに分けられ、段階に応じた対応が必要になるという。各レベルの対応は以下の画像の通り。なお、これらはあくまで一般に公表する際の考え方で、個人情報保護委員会への報告などとはまた別だ。

インシデントの分類と公表基準（NRIセキュアテクノロジーズ提供）

　ただし場合によっては、レベルを問わず速やかな公表が必要なケースもあると山口さん。例えばサービスのユーザーがWebサイトにアクセスすることで、マルウェアに感染したり、フィッシング詐欺の被害に遭う可能性があったりするなど、当座のリスクがある場合は、被害を未然に防ぐためにも早急な公表が必要という。

　この他、自社の受けた被害が、同業他社などでも発生し得る場合などは、専門機関と協力の上、原因が分かった段階で注意喚起を兼ねて公表するケースも考えられる。例えば既知の脆弱性を狙った攻撃があった場合に、詳細に先んじてその旨を注意喚起するケースなどがそれに当たる。

　とはいえ、早急に初報を出すケースでは、その後情報の更新がないと世間の不信感につながる場合もあると木村さん。そのため海外では株主やユーザーなどからの納得を得るため、タイムライン形式で情報を更新するケースもあるという。

　以上の前提を踏まえ、あるべき情報公開の形を三者で議論。記者からは、報道記者の立場に加え、自身の情報が漏れているかもしれない当事者としての視点からも意見をぶつけた。