「うっかり」では済まされないのが情報漏洩ですが、メールの誤送信や操作ミス、管理設定の不備によって個人情報や機密情報がうっかり外部へ流出する可能性はゼロではないでしょう。5月に公開したブログの「情報漏洩の原因と対策~個人情報・機密情報の流出を防ぐために~」で、情報漏洩の確率を下げる方法に関してご紹介しましたが、それでも実際問題として事が起きた後にはどのような対処をとれば良いのか不安を抱えている方も少なくないでしょう。そこで今回は、情報漏洩してしまった時の対応方法についてご紹介します。
被害を最小限に止めるのは「初動対応」が鍵
情報漏洩によって起こりうる被害にはどのようなものがあるでしょうか。
- 企業の機密情報が流出することでその企業の中核、コアコンピタンスが外部に知れ渡ってしまう
- 個人情報が流出することでそれを不正に利用される可能性が高く、顧客に迷惑をかける上に損害賠償責任が発生する
- 情報漏洩によって社会的な信用を失い、顧客離れや大きな経済的損失を生み、事業継続が困難になる
いずれも企業にとって大きなダメージを与える被害であり、情報漏洩が起因となって経営が傾くケースも見受けられるのです。こうした被害を最小限に食い止めるための鍵は「初動対応」にあると言われています。具体的には、情報漏洩事件の発生に対して社内調査と原因究明を行い、事実公表と被害拡大防止に向けた取り組みを速やかにスタートすることを意味します。
初動対応を完了させるまでのステップ
では、情報漏洩被害を最小限に食い止めるための初動対応のステップをご紹介します。
ステップ1. 情報漏洩の発生状況を正確に把握する
情報漏洩が発覚するきっかけの多くは、外部セキュリティ機関からの通知や顧客からのクレームなどです。ただし、メールを誤送信してしまった場合や、機密情報等を保管したメディア(USBメモリなど)やPCなどを紛失してしまった場合などに関しては、その場で本人からの報告を受けることが多いでしょう。
その際にまず実施すべきなのが、情報漏洩の発生状況を正確に確認、把握することです。誰がどこで発見したのか?情報漏洩が判明した日時は?情報漏洩が発生した日時は?流出した情報の内容は何か?流出した情報の件数は何件か?現時点での対応状況は?などを整理します。
これら発生状況の正確な把握がないと、被害をどのように止めれば良いのか具体的な策を講じることはできません。情報漏洩が起こったら、まずは発生状況の正確な把握に努めなければなりません。
ステップ2. 情報漏洩の根本的な原因を究明する
情報漏洩は企業にとって致命的な過失です。そのため、経営者やマネジメントは顧客からのクレーム殺到や経済的損失、社会的信用の失墜などが瞬間的に脳裏をよぎることかと思います。そのため「どうすればこの状況を収められるか?」と目先の対策に走ってしまいがちです。しかし、忘れてはいけないのが原因究明を優先的に行い、根本的な原因を突き止めなければ、事を収めることはできないということです。
情報漏洩の再発防止へとつなげるためにも、この段階で根本的な原因を徹底的に究明する必要があります。例えば顧客の個人情報を保管した外部メディアを紛失してしまって情報漏洩に至った場合は、当該社員がなぜ紛失したのか?だけではなく、その背景にある「個人情報を容易に持ち出せた状況」や「外部メディアに保管する意味」などにも目を向けて、原因を掘り下げていくことが大切です。
ステップ3. 緊急対策本部を設置し事実を公表する
情報漏洩の発生状況の把握と根本的な原因究明に続いて、事態を収拾へ向かわせるために緊急対策本部を設置して、情報漏洩の事実を公表します。事実公表はできる限り速やかにする方が社会的信用の失墜を最小限に留めることが可能です。
また、緊急対策本部を設置したことや個人情報が漏洩した場合はその対応デスクの有無と連絡先、暫定的な対処などについて明示することも大切です。ちなみに個人情報取扱事業者が個人情報を漏洩させた場合は、個人情報保護委員会へ速やかに連絡する必要があります。
個人情報保護委員会
TEL / 03-6457-9685
FAX / 03-3597-4560
郵送 / 〒100‐0013 東京都千代田区霞が関3-2-1霞が関コモンゲート西館32階 個人情報保護委員会事務局個人データ漏えい等報告窓口 宛
個人情報保護委員会(マイナンバー)
TEL / 03-3593-7962
郵送 / 〒100‐0013 東京都千代田区霞が関3ー2ー1霞が関コモンゲート西館32階 個人情報保護委員会事務局特定個人情報漏えい等報告窓口 宛
情報漏洩の発生原因となった社員への処罰はどうすべきか?
上記のような初動対応を速やかに行えるかどうかが、情報漏洩が発生した際に被害を最小限に留める鍵になります。そのため、現時点で情報漏洩が起きていなくても、実際に発生した事を想定して初動対応のマニュアルなどを作成しておく事をおすすめします。
そして初動対応が完了した後に待っているのが、情報漏洩の発生原因となった社員や部署への責任追及になります。多くの場合、社員本人に情報漏洩を起こそうという悪意はありません。しかし、企業は、「会社やその顧客に実害が出ているか?」「本人に悪意があったか?」「流出して情報はどれほど機密性の高いものか?」などの基準から対応を判断します。また、当該社員に処分をすれば情報漏洩がなくなるわけではありません。会社の仕組み自体が、情報漏洩を防ぐようになっておらず、やもすると誘発しやすい環境であったかもしれないということを理解する必要があるでしょう。
再発防止に向けた取り組み
最後に、企業は情報漏洩が発生しないように再発防止に向けた取り組みを推進することが大切です。経済産業省が2016年9月に策定した「秘密情報の保護ハンドブック~企業価値向上に向けて~」によれば、次の5つのポイントで再発防止に取り組むことが重要とされています。
- ポイント1. 絶対に流出してはいけない個人情報や機密情報に近寄りにくくする
- ポイント2. 情報漏洩の原因になりやすい個人情報や機密情報の持ち出しを制御する
- ポイント3. 情報漏洩が意図的に行われる事を想定して、情報漏洩を見つかりやすくする
- ポイント4. 機密性の高い情報だという事を社員に意識させ、漏洩すると何が起こるのかを切実に伝える
- ポイント5. 社員の声を反映した経営活動を心がけ、仕事に対するモチベーションを高めて情報漏洩リスクを低減する
万が一、情報漏洩が起こってしまったら、大切なのは事前のシミュレーションなどを通じて迅速な対応が可能な環境を整える事です。この機会に、もしも自社で情報漏洩が起こったら?と想像し、その対応方法を検討してみてはいかがでしょうか。そして、何より情報漏洩が起きない、起きにくくする制度やITを含めた仕組みを知り、構築していくことが重要です。
