インターネットのコンプライアンスと危機管理

最近のビジネスを取り巻くIT犯罪事情

昨今では、不正アクセスにより大量のデータが盗取される事件が発生しており、国内外でも大規模な個人情報漏洩事件が確認されている。2007年、大日本印刷から約864万件の個人情報が流出した事件が発生し、日本人口の約6%相当(当時の報道)の個人情報が漏洩したとされた。

一方、米国では、2009年8月17日(米国時間)に、2006年末から2008年初頭のわずか2年強の間に1億3000万件(米国人口の約41%に相当)のクレジットカード情報を盗み出した罪で28歳のアメリカ人が告発された。情報漏洩件数1億以上という数字は全米のサイバー犯罪史上でも過去最高規模となった。被疑者は2人の姓名不明なロシア人と共謀して米国内のさまざまなシステムにハッキングを繰り返し、カード処理会社の米Heartland Payment Systems、米7-Eleven、スーパーマーケットチェーンの米Hannaford Brothersと企業名不明の2つの小売りチェーンの計5つの大手システムでのハッキングと情報吸い出しを行っていた。

不正アクセス者との闘い――突然の招かざる客にどう対応する?

以下の事例は、実際に発生した不正アクセス事件における企業対応をモデルにしている。一般の企業にも、いつでも発生しうる事例としてご紹介する。

現在、ホームページを有する企業は数万社、また、ホームページ上で会員申込みや物品の購入、ホテルの予約などのサービスを提供する企業も多数ある。A社はそんな会社の一つだ。そして、ある日突然事件が発生した。A社はその対応に莫大な費用がかかることを知り、驚愕する。

(発覚1日目)
委託している外部のホームページ管理会社から、「不正アクセスの侵入があり、何らかのウィルスに感染した可能性がある」との報告を受けた。この種のウィルスは、常に進化していて対策側とのイタチごっこだ。A社は直ちにウィルスの特性と感染データを調べるよう、専門家に指示した。

(発覚2日目)
会員からは特に今のところ苦情等はない。一方で、社外の専門家は驚くべき事実を伝えてきた。ウィルスは至るところに張り付いていたが、その中に会員リストも含まれていた。A社は予約や物品の購入がホームページ上で終了すると、申込内容を確認するための自動メール返信機能があり、その機能の中で必ず当該会員リストにアクセスして会員データを検証するしくみとなっている。これにより、申込者に自動返信されたメールには、ウィルスが付いた状態で送付されるという事態が発生していたことが判明した。

さらに、この送付されたウィルスメールを開封すると、今度は申込者のパソコンに取り付き、申込者のパソコン内にある情報が不正アクセス者に送付されるという新たな危機が発生することも判った。

(発覚3日目)
幾つかの問題点が発生した。A社はホームページのWebサーバーについて、バックアップを取っていなかった。本来、感染時期がわかれば、そこまで遡って修復をすることで早期にサービスを開始できるが、バックアップがないことで、修復には相当の時間がかかり、ホームページ上の多くのサービスを停止せざるを得なくなった。また、発覚後、直ちにウィルスの除去を行い、是正策を講じていたが、感染後から発覚までの数日間にアクセスしてきた会員に対しては個別に通知を行う必要があったこと、さらに、ホームページ上においても「お詫びのお知らせ」を開示しなければならず、多数の問い合わせが予想されるため、Q&Aの作成や、対応者の訓練、回線確保などの準備にも追われることになった。

(発覚4日目以降)
発覚までの数日間に約4000人の新規会員の登録があり、これらの会員を対象に、感染の可能性を知らせるメールでの通知が開始された。また、同時にホームページ上でも「お詫びのお知らせ」を開示した。専門家の実現テストで、ウィルスは通常の対策ソフトで駆除できるとの報告を受けたが、個人会員が対策ソフトを導入しているかどうかはわからない。A社としては最悪のシナリオを想定し、ベストな対応を取るべく準備を開始した。

メールを配信し始めると、問い合わせの電話やメールが次々に入りだす。個人をクライアントの主軸としているA社では、夜の時間も休む暇がない。個人がメールを読む時間帯は、比較的夜に集中するため、対策を開始してからの3日間はスタッフを総動員してでも万全の苦情対応に備えなければならない。回線不足やスタッフの訓練不徹底で対応に不備が起きれば、不祥事に加えて、さらなる企業の信用毀損につながりかねない。

経営者は、自社で実行不可能と判断すれば、ときとして社外機関を利用してでも被害者側の救済や対応に尽力すべきである。特に、早期の対応が求められる事例では、経営判断のスピードが成功の鍵となる。当然ながら開示される内容の正確性や対策の実効性が重要な点は言うまでもない。A社取締役会は、メール配信を始めた直後から発生した諸問題に呼応するため、一度は決定した社内危機管理態勢を数時間後には修正し、これまでにない大規模な危機管理対応を実施することを決定、直ちに、社外専門家を含めた新組織へのシフトを行った。

本件の対応にかかった概ねの損失、危機管理対策費用は以下のとおりとなった。

(注)上記項目、費用には、申込者がウィルス対策ソフトの未導入で、誤ってウィルスに感染した場合のA社に対する情報流出に関する損害賠償等については含まれていない

NPO日本ネットワークセキュリティ協会(2011年情報セキュリティインシデントに関する調査報告書—個人情報漏えい編—)によれば、件数では第2位、漏えい人数では第1位の「管理ミス」は10~100人未満と100~1000人未満の情報漏えいインシデントが多くなっている。また、件数で第1位であった「誤操作」は、10人未満の情報漏えいインシデントが4分の3以上を占めており、少ない人数の漏えいインシデントが目立った。「不正アクセス」は、1000人以上~1万人未満と1万人以上~10万人未満の規模のインシデントが多く、「管理ミス」や「誤操作」に比べて、一件あたりの漏えい人数において他の原因を圧倒的に凌駕している。

白井邦芳「CSR視点で広報を考える」バックナンバー

もっと読む

1 2
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)

ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。

白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)

ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。

この記事の感想を
教えて下さい。
この記事の感想を教えて下さい。

このコラムを読んだ方におススメのコラム

    タイアップ