【情報セキュリティ】情報漏えい対応の5原則について

情報セキュリティ

企業における代表的な情報セキュリティ事故といえば、なんといっても“情報漏えい”です。
また、企業がこのような情報セキュリティ事故の発生時、適切に対応するためには、情報漏えい対応における“5原則”を知っておかなければいけません。
今回はその詳細を中心に解説していきたいと思います。

情報漏えい対応の5原則とは?

企業が知っておきたい情報漏えい対応の5原則は、以下の通りです。

・防止の原則
・事実確認、情報一元化の原則
・透明性の原則
・統制の原則
・備えあれば憂いなしの原則

では、1つずつ詳しく見ていきましょう。

①防止の原則

ここで言う“防止”とは、“被害拡大防止”、“二次被害防止”、“再発防止”を指しています。
まず、企業において情報漏えいが発生したら、それに伴う被害を最小限に抑えなければいけません。
また、漏えいした情報が悪用されないよう、迅速に対応することも求められます。
そして、一度企業で発生した情報漏えいは、二度と発生させないために、万全の対策を取らなければいけません。

②事実確認、情報一元化の原則

情報漏えいの発生時は、それを食い止めるための対応だけでなく、事実確認も徹底しなければいけません。
具体的には、何が原因なのか、どこで発生したのか、いつ発生したのかといった事実の確認です。
また、このとき企業関係者は、憶測や類推によって判断を下したり、信頼性の低いエビデンスに基づいて発言したりしてはいけません。
その行動が、顧客や取引先等を大きな混乱に巻き込んでしまうからです。
そして、このような状況になるのを防ぐためには、組織の一ヶ所に情報を集約し、正確な情報を管理しつつ、外部への情報提供、報告を行う必要があります。

③透明性の原則

情報漏えいによる被害の拡大、類似事故の発生等が予想される場合は、企業責任の観点から、組織としての透明性を確保することも重要です。
つまり、正確な情報はできる限り開示する体制を取るべきだということです。
これにより、情報漏えいの規模が大きくなったり、他の企業で同じような漏えい事故が発生したりする可能性が低くなります。
もちろん、企業に透明性を持たせることで、被害が拡大すると判断される場合等、臨機応変に対応しなければいけないケースもあります。

④統制の原則

情報漏えい事故が発生した場合、企業はあらゆる難しい判断を迅速かつ的確に下していかなければいけません。
これは企業にとって非常に負担が大きいものであり、なおかつ判断ミスのリスクも常に付きまといます。
また、経営に関することだけでなく、広報や技術、法律等、あらゆる観点からの判断が求められるため、企業は統制を強く意識し、効率良く対応していく必要があります。

⑤備えあれば憂いなしの原則

企業は普段から、情報漏えい事故が発生した場合を想定し、どのように動くのか、何を外部に伝えるのか、どのように情報を管理するのかなどを考えておかなければいけません。
また、実際の動きをシミュレーションしておくだけでなく、方法や手順を作成しておくことも重要です。
もちろん、これらの準備は時代の流れに合わせてアップデートしていかなければいけません。

漏えいした情報の種類別対応ポイント

企業は前述した“情報漏えい対応の5原則”を遵守し、なおかつ漏えいした情報の種類に応じて、最適な行動を取れるようにすべきです。
企業で漏えいし得る情報の種類には、主に以下の3つが挙げられます。

・個人情報
・公共性の高い情報
・一般情報

では、それぞれの対応ポイントについて見ていきましょう。

①個人情報

企業における顧客、取引先、あるいは従業員に関する情報です。
もし、漏えいしたのが個人情報であるなら、個人情報保護法に基づいた対応をしなければいけません。
状況によっては、監督官庁への報告も必要です。
また、個人情報漏えいの被害者(顧客、取引先、従業員)に被害が及ぶことも考えられるため、本人への通知や注意喚起も行います。
もちろん、その際には謝罪することも忘れてはいけません。

②公共性の高い情報

通信設備等、社会の重要なサービス、または社会の安全に関する情報等です。
このような公共性の高い情報の漏えいが発生した場合には、内容に応じて関係者や監督官庁に報告したり、マスコミ等に対して情報を開示したりしなければいけません。

③一般情報

取引先との取引情報等が漏えいした場合は、まず取引先に報告し、その以降に沿った対応をします。
また、もし漏えいした情報に、自社における機密性の高い情報が含まれている場合は、その内容に応じて適切な経営判断をしなければいけません。

まとめ

ここまで、企業が守るべき情報漏えい対応の5原則と、漏えいした情報の種類別対応ポイントを見てきましたが、いかがでしたか?
本記事に目を通し、まだ自社の体制が不十分だと感じる場合は、一刻も早く体制を整えてください。
実際漏えい事故が発生し、情報セキュリティ体制がおろそかであったことが発覚すると、その後信頼を取り戻すにはかなりの労力と時間がかかります。

タイトルとURLをコピーしました