サイバー攻撃を受け、KADOKAWAグループにおいて大規模なシステム障害が発生。その後、個人情報の漏洩も確認され注目を集めた。このようなケースで企業に求められる対応や情報開示の考え方について専門家が解説する。
※本記事は月刊『広報会議』1月号(11月29日発売)の特集記事を転載しています。
2024年6月にランサムウエアを含むサイバー攻撃を受けたKADOKAWAグループは、8月に約25万人の個人情報の漏洩を確認したと発表した。11月には、2025年3月期通期業績予想で、特別損失24億円を見込んでいることを発表。本稿を執筆している11月上旬時点でも事態は完全には収束しておらず、甚大な影響を受けた。
警察庁サイバー警察局によると、20 24年上半期でのランサムウエアの被害報告件数は114件に上っており、直近の3年、被害件数が多い状況が続いている。企業がランサムウエアを含むサイバー攻撃を受けた場合、どのような情報開示が求められるのか。本稿では、KADOKAWAグループのケースをレビューしながら、サイバー攻撃を受けた場合の公表の判断軸と内容について、考えていきたい。
速やかにSNSで情報開示
まずは、サイバー攻撃を受けた直後のKADOKAWAの広報対応をみていく。
KADOKAWAが、第1報を掲載したのは6月9日午前10時7分だった。掲載場所は、自社の公式サイトではなく、プレスリリース配信サイトのPR TIMES。加えて、Xの公式アカウントでもPR TIMESのURLを引用する形で公表した。公式サイトが使用できなくなった週末の対応ではあるが、対応のスピードと発表方法は、いずれも適切だったと考える。
6月9日にウェブサイトにおける障害に対する第1報として「PR TIMES」に掲載したプレスリリース。
システム障害が発生したのは6月8日午前3時30分で、サイバー攻撃を受けた可能性が高いという段階で、翌日にリリースを発表した対応は迅速である。リリース第1報を出した2日後の11日には、臨時サイトを立ち上げ、復旧までこのサイトで情報を発信していくことを明らかにしており、この点も評価できる。同社の対応が迅速だった背景には、「ニコニコサービス」の利用者など、ユーザーへの影響の大きさを踏まえたものだと推察する。
図 KADOKAWAグループへのサイバー攻撃を巡る主な動き
