多くの企業は、情報セキュリティ管理者を役職として設け、さまざまな脅威に備えています。
では、実際に企業で情報セキュリティ事故が発生した場合、管理者はどのように対応すべきなのでしょうか?
ここからは、基本的な対応手順や注意点などについて解説しますので、ぜひ参考にしてください。
管理者における情報セキュリティ事故への基本的な考え方
管理者は、情報セキュリティ事故に伴う情報漏えいが発生したとき、必ず優先しなければいけないことがあります。
それは、情報漏えいによる企業の直接的または間接的被害を最小限にとどめることです。
つまり、自社のことだけでなく、情報漏えいの対象となった被害者や顧客、取引先、株主、親会社、子会社、従業員など、情報セキュリティ事故に関係するすべての組織・人物の被害を最小限にしなければならないということです。
もちろん、管理者として、情報セキュリティ事故の原因を突き止めることも重要ですが、こちらは二の次です。
まずは、目の前で広がっている被害を食い止めなければいけません。
情報セキュリティ事故への基本的な対応手順
企業の情報セキュリティ管理者は、事故により情報が漏えいした場合、基本的に以下の手順で対応します。
・発見、報告
・初動対応
・調査
・通知、報告、公表
・抑制措置、復旧
・事後対応
発見、報告
情報セキュリティ管理者は、情報漏えいの兆候や具体的な事実を確認した場合、速やかに上層部に報告し、対応のための体制を整えます。
また、不正アクセスなどが原因となっている可能性が高い場合は、不用意に操作をせず、システム上に残された証拠を消してしまわないように注意する必要があります。
初動対応
情報セキュリティ管理者を中心とした対策本部を設置し、当面の対応方針を決定します。
また、管理者はその方針に沿って、情報漏えいに伴う被害の拡大、二次被害を防ぐための応急処置を行います。
中でももっとも優先しなければいけないことは、情報の隔離やネットワークの遮断、サービスの停止といった応急処置です。
調査
本格的な対応を行うにあたって、情報セキュリティ管理者は、事故に関する調査を行い、事実関係を裏付ける情報、証拠を整理します。
通知、報告、公表
情報セキュリティ事故により、いくつかの個人情報などが漏えいしてしまった場合には、被害者や取引先に通知する必要があります。
また、監督官庁や警察、IPAなどへの届出や、プレスリリースの発表なども実施します。
ちなみに、すべての関係者に対し、個別に通知するのが困難である場合や、情報漏えいの被害が甚大である場合などは、自社ページでの情報公開だけでなく、記者発表の実施も検討しなければいけません。
ただし、情報の公表が被害を拡大させる可能性がある場合は、公表の時期についても考慮する必要があります。
抑制措置、復旧
情報セキュリティ事故に伴う情報漏えいの拡大防止、復旧のための本格的な措置を講じます。
また、再発防止に向けた具体的な取り組みの実施や公表も実施する必要があります。
もちろん、これらの措置を講じている間にも、新たな被害が発生することは十分考えられます。
よって、専用の相談窓口を設け、そちらに対応する準備もしておかなければいけません。
事後対応
情報セキュリティ事故におけるすべての措置と復旧が完了した後、管理者は企業の代表者に調査報告書を提出し、被害者に対する損害補償などに関する事項を決定・実行します。
また、企業の従業員に責任がある場合などは、必要な処分手続きも実施します。
情報セキュリティ事故に対応する際の注意点
情報セキュリティ担当者は、漏えいした情報の種類や原因に応じて、臨機応変に対応を変える必要があります。
漏えいしたのが個人情報であれば、個人情報保護法に準拠した対応が必要になりますし、本人への通知と注意喚起をあわせて実施しなければいけません。
公共性の高い情報が漏えいした場合は、マスコミ等への情報開示が必要なケースがあり、漏えいした情報に取引先の情報が含まれるときには、相手方の意向に沿って対応することも求められます。
また、情報漏えいの原因には、紛失や盗難、誤送信や誤公開、内部犯行や不正アクセスなどが挙げられますが、これらのセキュリティ事故に対する初動対応では、5W1Hの観点から事実関係を整理しなければいけません。
5W1Hとは、“いつ、どこで、誰が、何を、なぜ、どうしたか”をまとめた表現であり、例えば紛失が原因の情報セキュリティ事故では、以下のようなことを明確にする必要があります。
・紛失の当事者は誰か?
・紛失したものは何か?
・紛失したものに含まれていた情報は何か?
・いつ紛失したのか?
・どこで紛失したのか?
・なぜ紛失したのか?
・なぜ紛失が発覚したのか?
まとめ
ここまで、情報セキュリティ事故発生時、企業の情報セキュリティ管理者が取るべき行動の手順や注意点を見てきましたが、いかがでしたでしょうか?
情報セキュリティ事故が起きた場合、管理者は被害の拡大防止を最優先に、各ステップを確実にクリアしていく必要があります。
また、企業は有事の際、冷静かつ適切に対応できる人材を管理者に任命しなければいけません。
