必見!情報漏えい後の対応と考え方
発生してしまうと、大きな損失を生みかねない情報漏えいは、可能な限りの対策を施し、発生しないように最善の注意を払います。
しかし、人の手で管理している以上、発生率をゼロにすることは困難です。
発生率をゼロにできない場合、情報を扱う私たちはどうすれば良いのでしょうか。
答えは、情報漏えいによる被害を最小限に食い止める対応を知ることにあります。
こちらの記事では、情報漏えい後の対応を主にお話しします。
情報漏えい後の対応で大事なのは初動対応
情報漏えい後の対応の目的は、被害を最小限に抑えることです。
そもそも情報漏えいが原因で発生する被害には、どのようなものがあるのでしょうか。
- 企業や組織の機密情報が漏えいし、唯一の強みが外部に知れ渡る
- 個人情報が不正に利用され、個人が被害に遭えば法的措置で損害賠償を請求される
- 情報漏えいで社会的な信用を失い、顧客離れを始めとした経済損失を被る
それぞれ企業や組織にとって手痛い被害です。
情報漏えいが発生してしまった以上は、少なくとも社会的な信用を失う可能性が高く、また、被害をゼロにするのは不可避であり、その被害を最小限に食い止める策を講じておくことが肝心です。
そして最小限に食い止める鍵は、「初動対応」にあるとされています。
情報漏えい後に取るべき行動
初動対応が大事であることをお話ししましたが、実際にどのような対応をすべきでしょうか。
取引をした顧客の個人情報を記録しているUSBメモリを盗難されてしまった場合を一例として挙げておきます。
1.情報漏えい確認から発生状況を正確に把握する
情報漏えいの可能性などを確認した場合、大事なのは5W1Hで発生状況を正確に把握することです。
- When:いつ発生したのか
- Where:どこで確認したのか
- Who:誰がどこで発見したのか
- What:漏えいした情報の内容は何か
- Why:なぜ情報漏えいが発生したのか
- How:どのような経緯で漏えいしたのか
上記に従って整理し、発生状況を明確にした後は責任者に報告する必要があります。この際、口頭ではなく紙かデータで情報共有シートを作成すれば、正確な報告ができます。
個人情報を記録しているUSBメモリが盗難された場合は、下記の行動を取る必要があります。
- USBメモリが盗難されたことを責任者に報告
- 情報漏えいの可能性を考えて対応の準備
- 情報提供してくれた相手の連絡先などを控えておく
2.情報漏えいによる被害の拡大や二次被害を抑える(初動対応)
情報漏えいが発生すると、被害の拡大と二次被害が予想されます。
発生状況の確認を行った後は、それぞれを抑える対応を取りましょう。
外部からの攻撃、または被害拡大の可能性が考えられる場合は、ネットワークの遮断やサービス停止などの対応を行います。
個人情報を記録しているUSBメモリが盗難された場合は、下記の行動を取る必要があります。
- 盗難されたUSBメモリにどのような情報、アクセス制限があるかを確認
- 事実関係を5W1Hで整理する
- 警察への届け出
- USBメモリにアカウント情報やクレジットカードなどがあれば、アカウントやカードを停止させる
3.情報漏えいの原因を究明する企業
情報漏えいの発生状況把握と原因究明に続けて、事態を収拾させるために緊急対策本部を設置します。
漏えいした情報の関係者を始め、監督官庁や警察・情報処理推進機構セキュリティセンターなどへの届け出、Webやマスコミなどを使って事実を公表します。
この時、記者から取材依頼が複数来た際には、記者会見の開催を検討する場合もあります。
記者会見では事実を正確に伝えられるよう配慮し、回答できない質問が来た場合は無理に回答せず、確認して後日回答するような形にします。
情報公開により被害拡大の恐れがある場合を除き、情報漏えいした旨の公表は社会に対して誠意を示すことにつながりますので、しっかりと公表しましょう。
個人情報を記録しているUSBメモリが盗難された場合は、下記の行動を取る必要があります。
- 個人情報が含まれる場合、本人への報告と謝罪を行う
- 社会に公表する際、情報漏洩に関する相談窓口を設ける
- 必要に応じて監督官庁に届け出
- 規模や影響が大きい場合はWebなどを使って経緯を公表する
情報処理推進機構セキュリティセンターとは?
日本のIT国家戦略を技術・人材面から支えるために設立された独立行政法人・情報処理推進機構内の機関で、情報セキュリティ対策の強化や情報インフラの促進を事業内容としています。
機関の役割の一つとして、コンピュータウイルス・不正アクセス・脆弱性の発見と被害の届出を受け付けています。
届け出る内容によって連絡するアドレスが異なりますので、「届出・相談・情報提供」ページのリンクを下記に記載いたします。
■届出・相談・情報提供:IPA 独立行政法人 情報処理推進機構
該当するページから問い合わせましょう。5.被害の拡大防止と復旧作業
情報漏えい時に設けた相談窓口から被害が発生した旨の連絡を受けた場合は、確認して対応していきましょう。
この時に再発防止に向けた対応を行いつつ、一時停止したサービスなどを復旧していきます。
個人情報を記録しているUSBメモリが盗難された場合は、下記の行動を取る必要があります。
- 修復可能な情報を復旧
- 相談窓口に被害の連絡があれば対応
6.事後対応
緊急対応を行いつつ、情報漏えい対策の見直しと再発防止策を検討していきます。
情報漏えいの調査報告書を経営陣に提出し、被害者へ損害の補償など必要な対応を行いましょう。
この時、情報漏えいに関わった社員の責任追及は、本人の悪意の有無、流出した情報や会社や顧客に損害が出ているかで対応が変わってきます。
ただ社員を処分するだけでは情報漏えいは無くならないため、会社の仕組みを見直し、マニュアルの作成や更新をすることも大切です。
個人情報を記録しているUSBメモリが盗難された場合は、「事故の再発防止策を検討し、改善を図る」必要もあります。
漏えいした情報タイプ毎の注意事項
情報タイプによって必要な対応が変わります。それぞれ下記のように対応していきます。
個人情報
情報が漏えいした場合は、個人情報保護法に則って対応を行い、状況に応じて監督官庁へ報告します。
また、本人に報告や謝罪、注意喚起なども併せて行い、二次被害を抑える動きも大切です。
公共性の高い情報
公共性の高い情報とは通信設備など社会の重要なサービス、または社会の安全に関する情報を指します。
内容に応じて関係者や監督官庁に報告、マスコミなどに対して公表する必要もあります。
一般情報
一般情報は、企業や組織などの得意先に関する情報を指します。
漏えいしてしまった場合は取引先に報告し、取引先の考えに沿った対応を行いましょう。
企業秘密などが漏えいした場合は、内容に応じて経営判断を行う必要とする場合もあります。
一情報漏えい後の対応はどれだけ被害を抑えるかが大事
情報漏えい後の対応や考え方についてお話ししました
。発生してしまったら自暴自棄になるのではなく、気持ちを切り替えて企業組織や漏えいした情報の関係者に更なる被害が及ばないよう対応に走ることが大切です。
今回は、一例として取引した顧客の個人情報が記録されているUSBメモリを盗難されてしまった場合を挙げましたが、USBメモリを利用しなければ、盗難の心配はありません。
USBメモリの代わりにデータブリッジの利用を検討してみるのも一つの解決策です。
データブリッジはデータのやり取りを行いたいネットワークに接続された端末間に接続することで、つないでいる間だけデータを一方的に転送できるセキュリティ機器です。IP通信を行わないので、ネットワーク接続ではありません。
USBメモリの盗難に不安を抱いた際には、NTTテクノクロスが提供するデータブリッジの導入を是非ご検討ください。