インターネット上の情報漏洩に対する企業の正しい対応とは?
企業による情報漏洩のニュースが後を絶ちません。
NPO日本ネットワークセキュリティ協会による『2017年 情報セキュリティインシデントに関する調査報告書』では、2017年だけでも、約519万件の個人情報の漏洩があったとされています。
その原因はさまざまですが、海賊版サイトからのウイルス感染、ファイル共有ソフトの利用による漏洩のみならず、私たちが日ごろから利用している電子メールやSNSからも漏洩などの可能性が考えられます。
万が一情報が漏れてしまったら、企業はまず何をすべきなのか。ここでは基本的な対応策をご紹介します。
違法サイトはもちろん、日常的なソフトからも情報漏洩の危険あり
許可を得ずに漫画をデータ化してインターネット上にアップロードする行為は、著作権の侵害に当たり違法です。
しかし、そうした行為が蔓延し、電子コミックを無料で閲覧できる海賊版サイトが急増しました。
経済産業省が2016年にまとめた報告書の推計によると、その被害額は500億円に上っていました。
海賊版サイトは、閲覧した人のPCがセキュリティ面でのリスクにさらされる危険性が高いといわれており、実際、海賊版サイトにアクセスするだけで利用者の端末において不正なプログラムが自動的に動き出すという報告もありました。
それがもし会社のPCで起きたとなると、社内の機密事項の漏洩や業務用のシステムが機能しなくなることも十分に考えられます。
ほかにも、クラウドサービス、圧縮ソフト、電子メールなどによるPCのウィルス感染、電子メールの誤送信やSNSの操作ミスによる情報漏洩など、インターネット上にはさまざまな情報漏洩の危険が潜んでいます。
したがって企業としては、社員に会社情報の入ったPCの使用ルールを定め、徹底させる必要がありそうです。
インターネット上で一度漏れてしまった情報は瞬く間に拡散し、すべて回収することはほぼ不可能といっても過言ではありません。
会社としての信用が落ちるだけでなく、顧客から損害賠償訴訟を起こされる可能性も十分に考えられます。
ちなみに、2017年の情報漏洩案件に対して想定された損害賠償総額は、約1,914億円にもおよんだといいます。
流出した内容と件数を把握して、個人情報保護委員会に報告
情報漏洩に最大限注意するのはもちろんですが、万が一、社内の情報が外部に漏れてしまった場合、いったいどのような対応が必要になってくるのでしょうか。
まず、何の情報(内容)がどのくらいの量(件数)、漏洩されたのかを把握しなければなりません。
顧客の氏名や住所など、個人を特定できるものなのか、さらにはIDやパスワード、その先の情報まで漏れてしまったのかなど、現状を素早く探ります。
その後、被害者への謝罪対応、事実の公表、原因究明の調査や再発防止案の作成などを行います。
個人情報取扱事業事業者は、個人情報保護委員会等への報告も忘れずに行ってください。
連絡を受けた個人情報保護委員会等は、個人情報保護法に則って、情報漏洩を起こした個人情報取扱事業者に是正の勧告を行うことができるとされています。
被害者には、誠意ある謝罪と具体的な防止策を
被害者への対応は、早急に行いましょう。
過去の事例では、被害者全員に一定額の商品券やギフト券を配布したケースもありましたが、お詫びの金券は必ずしも必要なものではなく、あくまで事業者としての方針によるものです。
それよりも誠意ある謝罪や、二次被害の防止策の開示などに注力したほうが、被害者の方々の安心感や会社の信頼につながるといえます。
また、被害者から慰謝料の支払いを求められる場合もまれにみられますが、すべての被害者に同じ対応を行う必要があることを理由に、支払いは断ったほうが懸命でしょう。
もし、一部の被害者に慰謝料を払ってしまったら、すべての被害者に慰謝料を支払わなければ平等な謝罪があったとは認めてもらえず、その金額は莫大なものになってしまう可能性があります。
情報漏洩は、会社の根幹を揺るがしかねない大事故といえます。
元の信用を取り戻すには、適切な対応ができるかどうかが分かれ道になってきます。
漏洩が発覚したら、被害者の立場に寄り添った適切な対応と、迅速な再発防止に努めましょう。