「推しインシデント対応」が増えた2016年

表彰式後は、登壇した5名の審査員らによるパネルディスカッションが行われた。

根岸氏は今回のアワードについて、「個人的な感想としては、去年に比べて良い対応をした企業が多く、選びやすかったです」とコメント。これに辻氏も「今回は『推しインシデント対応』が多くて、激論でした」と同意した。

事故の報告書については北河氏が「各社、良いところをどんどん真似してきている」と傾向を分析し、piyokango氏も「時系列でわかりやすいものが多かったです」と所感を述べた。

仕事柄、セキュリティに関するレポートを作成することも多いという辻氏によると、報告書作成のポイントは「『経営者にはこれだけ見せればよい』というサマリを最初に書き、後はどの章で切ってもわかるように書くこと」だという。

報告書で特に良かったものとしては、徳丸氏が日本テレビの情報漏えいに関する対応を例に挙げ、「第三者委員会は当事者が雇うものなので、こちらとしてもしょせんはそういうものだろうという目で見るのですが、日テレの報告書は技術的にも詳細で厳しく書けており素晴らしかった」とたたえた。

次に重要なのは情報公開のチャネルだ。piyokango氏は、「一般的には、Webサイトに公開するべきです。ただし、情報共有と言ってもインターネット上への公開が全てではありません。サイバー情報共有イニシアティブ(J-CSIP)など、情報を共有する枠組みは既に複数存在します。自分の組織が参加可能なところを確認し、そうした既存の枠組みの活用も検討してほしいと思います」とコメントする。また、「Webサイトはダウンする場合もある」(根岸氏)ので、非常時に備え、Twitterなど複数のチャネルをあらかじめ用意しておくことが必要だ。

その好例として、京急油壺マリンパークと浅虫水族館のインシデントが挙げられた。両者ともサイトがダウンした際、原因調査中であることや復旧状況などについてTwitterで情報を発信したのだ。辻氏によると、「単にサイトにアクセスできないだけでは、攻撃を受けているのか、メンテナンスなのかがわからない」ため、間違った情報の拡散を防ぐ意味でも、公式サイト以外に情報発信できるチャネルを設けておくことの意義は大きい。

本アワードの趣旨は「『どんなに対策しても事故は起きるもの』だと認識し、起きた後にしっかりと対応することが大切」というところにある。情報漏えいのようなセキュリティ事故が発生すると、「誰が悪いのか」「セキュリティ対策がずさんだったのではないか」などとあら探しに走りやすい。だが、辻氏は「2015年に起きた年金機構の情報漏えい事故以降から風潮が変わったように思う」と語る。

「よく『(ウイルスの)添付ファイルを開くのが悪い』と言われますが、ユーザーサポートや問い合わせ対応のようにメールを開封し、内容に応じた対応をするのが仕事の人だっているでしょう。JTBの記者会見では担当者がウイルスメールを開封してしまったことについて、公の場で責められなかった点はとても良かったと思います」(辻氏)

セキュリティ事故が起きた際には、原因の調査や周囲への報告・発表が不可欠となる。しかし、それはミスを責め立てたり、誰かに責任を押し付けたりするためではない。状況を明らかにして関係者の不安を払拭するとともに、同じ事件、事故の被害を減らす布石とするためだ。少しずつ、しかし着実に、事後対応の重要性が理解されつつあるのではないだろうか。