PR
相次ぐ個人情報漏洩事件を背景に、いざ漏洩が発覚した場合の対処を支援するサービスが相次ぎ登場している。過去の事件やコンサルティング結果などで蓄積したノウハウを基に、迅速な対処手順の確立や原因調査を行い、顧客/官庁への適切な対応法を指南する。

表●主な個人情報漏洩の緊急対応支援サービス
図●情報漏洩時の緊急対応支援サービスの内容
それぞれのステップで作業を支援する。費用などの観点で、どこまでサービスを受けるかを随時相談する
 個人情報の漏洩が発覚したら、まず何をしたらよいか―。情報漏洩事件を起こした企業に向け、緊急時の対処を支援するコンサルティング・サービスが相次いで登場している([拡大表示])。

 監査法人のトーマツは5月、漏洩対策支援との2本立てで緊急対応の支援サービスを開始。KPMGビジネスアシュアランスは6月、ビジネス継続サービスの一環として、個人情報漏洩の事後対処を支援するサービスを新たに設けた。AIU保険が4月から正式に販売し始めた「個人情報漏洩保険」も同様のサービスに位置付けられる。損害賠償請求を受けた際の賠償金などを保険対象とするが、サービスの中心は事後対処のコンサルティングにある。加入に際しての審査は不要で、有事には無料でコンサルティングを受けられる。

 ベンチャー企業のセキュアシンク、NEC、一部の弁護士事務所が同様のサービスを提供する例もあったが、続発する事件を背景に、サービス提供ベンダーが急増している。

まずはログ確認と事情聴取

 各社のサービス内容に大きな違いはない。中心は情報漏洩の事実確認と原因調査、そして報道発表や官庁への報告のための資料作成支援である。

 多くの企業は、個人情報漏洩などの緊急対応に慣れていない。KPMGビジネスアシュアランスの田口篤ディレクターは、「例えば、なかなか情報を公開しないと顧客の不信感を助長する。ただ、いち早く情報を公表しても、その仕方を誤るとかえって批判を浴び、企業の信用を落としかねない」と対処の難しさを説明する。コンサルティング・サービスでは、監査法人などが過去から蓄積してきたノウハウを基に、適切な対処法を教授できることをうたい文句にしている。

 AIU保険の中江透水ITリスク・スペシャリストは、「特に広報や法務といった部門を設けていない中小企業では、急場でどう行動していいか戸惑うことが多い」と説明する。対処が遅れれば、顧客からの信用を失う可能性が高くなるだけでなく、情報の2次流出などのリスクも膨らむ。

 サービス提供ベンダーは、情報漏洩を起こしたユーザー企業に代わって対処手順を立案。システムのログ監査と責任者や現場担当者へのインタビュー、報告資料の作成などを手際よく実施する。各社とも、基本的には顧客から問い合わせを受けた当日あるいは翌日から支援を開始。問い合わせから1~2週間以内を目安に、報告資料作成程度までの緊急対応の初動を片付ける([拡大表示])。

 最初の情報公開後は、原因調査を継続する。トーマツの久保惠一エンタープライズリスクサービス部代表社員は、「多くのユーザーは、セキュリティ対策が十分と勝手に思い込んでいて、抜け穴に気付いていない。あらゆる可能性を網羅して監査すると、どこかしらに抜け穴が見つかる場合がほとんど」と指摘する。

 責任者などへのインタビューが原因究明につながることは少なくない。KPMGビジネスアシュアランスは、原因調査の際に業務改善のコンサルティングを手掛けるKPMGエフエーエスからインタビューなどを専門とする「フォレンジック・チーム」を招致し、合同で調査を進める。

 原因調査だけで終わりではない。再発防止に向けた抜本的な対策の立案・実施にも対応する。最終的に事態を収束させるまでは、3週間から半年程度かかるという。

 もちろん、サービスを受ければ必ず事後対処がうまくいくわけではない。ユーザーのシステム運用体制によっては、原因究明などの作業を進められない場合がある。例えばシステムのアクセス・ログを全く記録していないと、いくら専門家がチェックしても詳細な原因は突き止められない。この場合は、「原因については詳細は不明」としたうえで顧客や官庁への報告は迅速に進める、といった最低限の対処にとどまる。

料金は対処の過程で逐次相談

 ユーザーにとって気になるのは、料金である。

 これらの緊急対応支援サービスは、コンサルティングがベース。何をしたらいくらといった明確な料金テーブルを作りにくい。このため、個別見積もりとしているケースがほとんどだ。

 いざ事件が起こると、その対処の緊急度が高く、サービスを始める前にのんびりと見積もりを出して契約を結んでいる余裕はない。このため各社は、コンサルティングを進めるなかで対策のフェーズをいくつかの段階に分け、それぞれの時点で料金を提示し、相談する体制をとっている。

 例えばKPMGビジネスアシュアランスやトーマツは、基本的に1人1時間当たりの料金で決まる。担当者のスキルに合わせて単価を決めており、だれがどんな作業をどのくらい行ったかを基に、一定のタイミングで料金を請求する。調査を徹底する場合には4000万~5000万円かかることがあるという。セキュアシンクは対処のコンサルティング・サービスを2週間ずつに区切って2週間おきに契約を見直し、料金を通知する。

 AIU保険の個人情報漏洩保険は、あらかじめ保険料を支払う形をとる。売上高や業種により、年額15万円程度から数百万円までと幅広い。

(河井 保博)