PR

小林:クレジットカード情報が含まれていなかったのは不幸中の幸いだが,お客様の個人情報が漏れてしまったわけだな…。

山下:そう言うことになります…。

小林:まずは今回の一件を文書にまとめて漏れてしまった情報に含まれるすべてのお客様に郵便で郵送しよう。それから同じ内容をウチのWebに掲載するんだ。

山下:了解しました。文面はどのような内容で?

 漏れた情報を確認した後,次にすべきなのは「情報開示」である。できるだけ速やかに,漏洩したことを「被害者」(流出した情報の当事者)に知らせる。詳細な調査,原因の究明,再発防止策の検討を待つ必要はない。むしろ,一刻も早く確認できた範囲を知らせるべきだ。必要な情報は以下である。

1.漏洩した情報および漏洩しなかった情報
2.漏洩が起こった時期および原因の概要(確認できた範囲で)
3.想定される影響(可能であれば)
4.詳細な調査結果および再発防止策の報告の大まかな予定(目安は1カ月後)
5.本件に関する連絡先

 特に重要なのは連絡先である。問い合わせ先としては電子メールやファックスだけでなく,フリーダイヤルなどの電話回線を想定される問合せの数や時間帯に対応できるように余裕を持って用意しておく。

 情報開示のときは,どのような手段で開示するのかを慎重に検討する。情報開示の目的は,被害者に事実を伝えること。郵便または電話,電子メールによる個別の連絡は必須であるが,それだけでは連絡がつかない場合もある。そこで周知を徹底させるために,自社のWebでの告知,報道機関へのプレス・リリースや記者会見,新聞などへの「お詫び広告」などの手段を併用するのが一般的である。

 ただし,必ずしもこのような「公表」が適切とは限らない。例えば,Winnyによる情報漏洩でごく少人数ではあるが極めてプライベートな情報が漏洩した場合。この事実を公表すれば,興味本位でWinnyのネットワークにアクセスして該当データを取得しようとする者が現れる。このような場合は,二次被害を防ぐために「公表しない」という選択肢もある。もちろんこの場合も監督省庁への届出は必須である。

 近年の風潮では,今の例のように隠すことに積極的な理由がある場合を除いて,漏洩した情報がわずかであっても公表することが望ましいとされている。ただし,中小企業などでは,個人情報の漏洩を公表した結果,契約を打ち切られて倒産に追い込まれることもある。したがって,公表するかしないか,するとしたらどのような方法で公表するかは,慎重に検討する必要がある。漏洩した情報の性質,自社の経営状態,個人情報漏洩に関する世論など様々な点を考慮する必要がある。専門的な知見をもとにコンサルテーションする業者に「情報開示」そのものを委託することも一つの方法である。

 これらの情報開示は,すべて社長など社の代表者名で行なう(図3)。事態の経緯,今後の対応方針などは随時社長に報告することを忘れてはならない。また,情報開示によって外部から様々な形での問合せが想定される。そこで問い合わせ対応のQ&Aをまとめ,広報だけでなく,外部との接触が想定される全部署の全担当者に対して周知徹底させる。

図3●お客様情報の紛失に関するお知らせ
図3●お客様情報の紛失に関するお知らせ
[画像のクリックで拡大表示]

 漏えいが発覚してから情報開示までの機関は,最大で 5日以内が目安である。早いに越したことは無いが,漏洩の時期や漏洩した情報などに誤りがないように充分に確認してから開示する。

山下:プレス・リリースはどうしますか?

小林:Web に掲載するくらいだから,当然プレス・リリースも出した方がいいだろう。広報には俺から頼んでおくよ。文面などは広報とよく相談してくれ。

山下:了解しました。

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

<< その2 その4 >>