Enterprise Watch
最新ニュース

AIU保険・中江氏「情報漏えい発覚時の初期対応では時間が勝負」

~セミナー「IT実践塾 個人情報漏えい対策編」講演

 マイクロソフト株式会社とAIU保険会社は、中小規模事業所向けに実施しているセキュリティ対策セミナー「IT実践塾」として、第1回目の「個人情報漏えい対策編」セミナーを1月19日に行った。


AIU保険会社 経営保険業務部 部長 中江透水氏
 AIU保険会社 経営保険業務部 部長 中江透水氏によれば、個人情報漏えいの原因としては、故意の持ち出しによる内部からの漏えいが中心ではあるものの、AIU保険で提供している「個人情報漏えい保険」の契約先から12月までに報告された情報漏えい事故のうち、10件以上がメールの誤配信といった過失によるものだったという。

 「例えばメールにファイルを添付し、転送や返信をを繰り返すうちに、最初の添付ファイルアイコンが見えなくなることがある」とし、これを顧客企業などに送ってしまう例が、複数起きているとのことだ。またそれまで業務に使っていたPCを回収しないまま、異動先でPCが新たに支給されたため、廃棄せずに自宅で保管していて空き巣の被害に遭ったという例も報告されているとのこと。

 このように「要因が多様なため、漏えいすべてに対策することは非常に難しい」とした同氏は「企業には、事故を前提とした事後の対策、対応が求められる」とした。そして「止めようがない事故を危機に変えたとき、企業は壊滅的ダメージを受ける」と語った。


事故発覚後の対応スピードが、その後の回復の分かれ道になる
 事故を危機にしないポイントは2つある。同氏は2000年に起きた乳業大手の対応を例に上げ、「事故防止の努力を、行政マスコミ、株主、取引先といった利害関係者にきっちり訴えられるかが分かれ道になる」とし、次に「損失を最小化し、いかに迅速に事故前のレベルに戻すかが重要」と述べた。

 この成功例として同氏は、フルーツジュースを製造・販売している米Odwallaを挙げた。Odwallaでは1996年に作業上のミスからO157に感染したジュースを販売し、生後16カ月の幼児が亡くなる事故を起こしている。しかし事故後の対応は、スタンフォード大学の企業倫理担当教授が「対応に欠点がない」とコメントし、一部メディアは“教科書的”と取り上げるほど「迅速、オープン、誠実ものだった」。事故後の調査では、50%以上の消費者が事故の前よりも評価を上げ、結果、売上高も事故発生直後の9割減から1年近くで元へ戻し、その後もシェアを上げ続けたという。

 一方、平成10年に東京商工会議所が行った調査では、企業がこうした緊急事態に直面した際の問題として、45.3%の企業が「正確な事実をつかむまでに時間を要した」ことを挙げている。同氏は「米Odwallaのような対応を目指すのは非常に難しい」としながらも、「初期対応では時間が勝負になる。このため事故対応の準備ができておらず、混乱のまま時間だけが過ぎるといった事態を、いかに未然に防ぐかが大切になる」とし、「時間に余裕があるときに、必要な事柄をイメージしておくことが必要」と語った。

 例えばAIU保険では、「責任者へと迅速に情報を伝えるため、部門長だけでなくコンプライアンス統括部、個人情報管理責任者など複数の人間へ同時に伝達することを大原則にしている」という。

 事実を正確に把握するために、質問事項を想定したチェックリストの必要性を訴えた。「もし記者会見できちんと対応できず、のちに訂正を繰り返すようなことがあれば、消費者や取引先からそっぽを向かれかねない」とした同氏。例えばサーバーからの漏えいの場合には、アクセスが可能だったユーザー数や実際の人数、そしてアクセスログの確認といったことをきちんと確認できる体制が必要とした。

 また個人情報流出における近年の対応策として、見舞金として500円程度を配布することも広く行われている。しかし同氏によれば、「昨年9月に日経BP社が行った調査では、見舞金を評価する消費者は4.2%しかいなかった」。被害者が望んでいるのは、自分の個人情報が流出したかどうか、そして流出の原因の2点だとの結果が出たという。

 個人情報が流出すれば、オレオレ詐欺や架空請求といった二次被害の可能性もある。これらの被害は、警察庁のWebサイトによれば、2004年1月~11月に2万3000件、被害金額は250億にもなり、この原因の多くが個人情報の漏えいともいわれている。このため被害者への対応では、「まず迅速に個人情報流出の有無と、その原因を、さらにどのような迷惑、不利益の可能性があるのかを同時に伝えることが重要である」とした。


危機対策チームの構成例。「最小限これだけは必要になる」(中江氏)
 その後の対応についても、「一人がすべてをやっている時間はない」ため、担当を分けて同時並行で作業できるような危機対策チームが必要とした。対策チーム内には、「総務、広報、法務、情報システム、カスタマーサポートなどの部門から代表者を入れるべき」とし、担当ごとにアクションプランを設けて、時刻を決めて報告しあうといった時間管理を行うことが重要だとした。また「有事になってから誰を呼ぶかを考えていたら時間が過ぎるだけ。有事発生時に対応責任を持つ危機管理委員会を、あらかじめ設けておくべき」とした。

 また利害関係者への対策で忘れがちなのが、従業員への対応だ。場合によっては、社内の現状についての噂の出元となってしまう可能性もある。こうした風評被害を防ぐことも被害を最小化する上では必要になるとした。

 同社では、情報漏えい時の損害賠償と、謝罪広告費といった危機管理の実行費用を対象に補償を行うとともに、危機管理コンサルティングと、事故発生時の対応に関する支援サービスも無償で提供する「個人情報漏えい保険」を提供している。保険料は「売上高と業態で保険料が異なる」とのことで、例えばオンラインショッピングを手がけ、年間売上高10億円程度の場合では、1億円の保証で年間30~50万円程度とのことだ。



URL
  AIU保険会社
  http://www.aiu.co.jp/
  マイクロソフト株式会社
  http://www.microsoft.com/japan/

関連記事
  ・ マイクロソフトとAIU、中小事業所向けの情報漏えい対策セミナーを無償提供(2005/01/06)
  ・ マイクロソフト中村氏「情報漏えいは、日常業務でごく普通に起こりえる」(2005/01/20)


( 岩崎 宰守 )
2005/01/20 19:20

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.