詳細なFAQでこまめに発信
その後も同社は、YouTubeの「ニコニコ公式チャンネル」での夏野剛CEOのビデオメッセージ等の投稿や、リリースなどでも情報を発信している。初期対応でもう一点、評価できるポイントは、子会社ドワンゴの公式サイトでのサイバー攻撃に関するFAQの掲載だ。
システム障害発生の6日後に、サイバー攻撃の概要やサービス再開の見込み、個人情報の漏洩、補償などについて計41の質問に対する回答を載せている。調査中で詳細が判明していない部分が多い状況ではあるものの、対応の状況やその当時確認できていることと、今後確認していく予定のこと等が記されており、ユーザーに対して丁寧に説明している内容となっている。
情報開示は4つの軸で判断を
ここまでKADOKAWAグループの初期対応をみてきたが、ここで、サイバー攻撃を受けたときの情報開示について整理したい。
ランサムウエアによる攻撃が目立ち始めた2020年ごろは、企業側の情報管理に問題・課題があり、メディア・社会による情報の開示要請も強い傾向があった。しかし、その後、攻撃を受けたこと自体や企業を非難する論調よりも、どのような攻撃があったのか専門家と共有することの重要性について語られる場面が増えつつある印象がある。ランサムウエアを含むサイバー攻撃があった場合の判断軸として、次の4つが考えられる。
①行政からの指示(法令軸)
②攻撃内容とリスクの度合い(注意喚起軸)
③影響の範囲(影響軸)
④取引先・被害者の意向(関係者軸)
まずひとつ目の軸は、個人情報保護や監督官庁によるガイドラインなど、法令等に基づいて、公表が求められているかどうかという観点だ。2点目は、例えば、個人情報の流出の可能性が高い場合や、被害に遭っていることが考えられる人々への連絡が個別に対応が難しい場合など、広く注意喚起をする必要性があるかどうか。3点目としては、利用者や顧客への影響や復旧の見通し、社会的インパクトの大きさ等を加味する必要がある。最後に、取引先や被害者から情報の開示や説明を求められたかどうかや、機密性の観点から個々の取引先への対応・説明が求められているかといった観点での検討も求められる。
これら①~④の観点を総合的に踏まえて、情報を開示するかどうかを決定できるといいだろう。一方、①に該当せず、②の必要性も低く、③の範囲も限定的で、④が個別に連絡して対応できていれば、積極的に公表する必要性は低いと考える。
また、2023年に総務省や内閣官房内閣サイバーセキュリティセンターなどが事務局となって公表した「サイバー攻撃被害に係る情報の共有・公表ガイダンス」でも、次のような場合は、正確な情報の把握や調査を待たずに、まずは第1報を公表することが望ましいとしている。
●社会的に大きな影響や二次被害が及ぶ可能性がある時
●対外的なサービスの停止が当面続きそうな場合
身代金関連のコメントは慎重に
公表を決めた場合、調査や確認が完了するまでは、まずは次のような要素をリリースに盛り込むことを考えたい。
● 被害の概要、影響
● 発覚の経緯と対応状況
● 情報流出の可能性
● 問い合わせ窓口
攻撃者の情報はもちろん、日ごろから開示していないシステムの詳細については、サイバー攻撃が起きても開示する必要はない。また、身代金の支払いについては、基本的には回答を控えるスタンスでよいと考える。KADOKAWAのケースでは、一部メディアで企業と攻撃者とのやり取りが報じられ、同社は「強く抗議をする」と声明を出した。メディア側には報道する自由、権利があるため、「一部報道は当社が発表したものではない」という旨にとどめ、抗議や訂正を求める場合は個別に対応をできるとよかった。
調査が完了次第、原因と再発防止策について公表が必要だ。KADOKAWAの8月5日のリリースで、対策の詳細が盛り込まれていなかったのは、やや物足りなさを感じた。
そのほか、気になったのは、11月の決算説明会の質疑応答で、「サイバー攻撃を受けて長期間事業に影響が出たことについて、改めて何が反省点として考えられるか」との質問に対して、「当社は他の会社に比べるとセキュリティは比較的強固だったと考えている」と回答したのは、今回の影響の大きさを考えると、やや強気である印象を受けた。
最後に、ランサムウエアを含むサイバー攻撃を受けた場合の記者会見の開催についても考えてみたい。
KADOKAWAは、質疑応答を含まない一方向の動画配信や決算発表の場で本事案の説明はしているが、本事案についての記者会見を開いてはいない。過去にランサムウエアを含むサイバー攻撃を受けた企業で、記者会見を実施した例は確認できていない。
被害の規模や影響の度合いで、ここまで大規模なものがなかったということもあるだろうが、事件・事故など他の不祥事と比べて、説明・開示できる要素が限られてしまうということも大きな要因だと考えられる。
今回のKADOKAWAのケースは、中高生や取引先などの個人情報を含んでおり、社会的影響の大きさを考えても、会見を開くことを検討してもよい事案だと思うが、会見で説明できる内容の限界を考えると、会見を開かずにリリースを中心とした情報開示を選択したことも妥当と考える。また、攻撃側を過度に刺激することも避けなければいけないので、慎重な対応にならざるを得ない部分もあると考える。
月刊『広報会議』2025年1月号
▼特集
危機管理広報
失われた信頼を取り戻す
・1000人が選ぶイメージが悪化した出来事は?
「不祥事ランキング2024」発表
・小林製薬の紅麹サプリ健康被害、注意喚起に遅れ
早期に意思決定できる組織との違いは?
・『セクシー田中さん』問題が残した教訓とは?
ネット上の議論に対する広報の対応
・なぜ起きた?どう防ぐ?
2024年の広告炎上から学ぶこと
・地方の工場で爆発事故が発生…
「記者会見」に向けた5ステップ
・リスクマネジメントとしてのカスハラ対策
─効果的なカスハラ対応ポリシーの発信に向けて─
・「合理的配慮の提供」義務化
再点検しておきたい顧客対応、対話のあり方
・動き出したステマ規制
措置命令から学ぶクチコミ危機管理
・KADOKAWA情報漏洩問題で振り返る
サイバー攻撃を受けた時の公表の判断軸
