前々回、前回と情報セキュリティについてお話をさせて頂きました。情報を預かる組織はセキュリティに関する情報を日頃から収集、学習し、ベンダ等からのセキュリティ対策提案があれば、まずは検討すべきであること、万一の情報漏えいに備えて情報を重要度に応じて分別(トリアージ) して、対応策をあらかじめ準備しておくべきであること等、多少面倒な作業かもしれませんが、昨今のセキュリティ事情を考えるとやはり無視できないことではないかと思います。
情報漏えいは経営危機にも発展しかねない
顧客の個人情報であれ、取引先の営業秘密であれ、情報を取り扱う企業であれば、ある程度の手間を掛けて、それを守る手段を講じておかなければなりません。そして、その手間はその情報が漏れたときの被害の大きさによって、トリアージ (分類) して防御法を考えておくべきというのが前回のお話でした。仮に情報を守りきれなかったとしても、こうした対策を打っていた組織は少なくとも裁判で無責任だと責められる可能性は低いと考えられます。
とはいえ、これはあくまで外向きのお話です。いくら周囲から理想的な対応だとほめられたところで、情報漏えいが組織の運営や企業の経営に大きな影を落とす重大事であることには変わりません。たとえば、裁判所の判例などをみると個人情報を漏えいさせた場合、情報を漏らしてしまった組織に命じられる損害賠償の額は、概ね5百円から5千円というのが相場のようです。
1万人の情報が漏えいすれば、5百万円から5千万円、100万人なら、5億円から50億円の損失になります。その上、情報漏えいを起こした会社は多くの場合信用を落として、売上も落ちるのが普通ですし、その他の余計な経費も考えると、組織の損失は膨大なものになるでしょう。
これだけの損失を一気に出してしまうわけですから、企業の場合なら株価も下がるでしょうし、下手をしたら経営的な危機も招きかねません。情報漏えいの多くは、極少数の人が”ついうっかり”メールの添付ファイルを開いてしまったなど、ほんの些細なミスが原因で起きますが、それにしてはその被害は甚大です。まさに、注意一秒、怪我一生といったところです。
そして、どんな人間にもこうしたウッカリミスの危険が潜んでいるわけですから、情報を扱う組織は、いつか自分達の組織でも必ずこういうことが起きると考えて対策をしておく必要があるわけです。普段の仕事に忙殺されていると忘れがちですが、情報漏えいは誰にでも、どこにでも起き得ることなのです。
何もないときから情報漏えいを想定してルールを作る
では、「起きた時の対策」ではなく「起きる前の準備」として、どのような備えをしておくべきなのでしょうか。
たとえば、昨年発生した通信教育会社の情報漏えいの場合、当時は大変な問題になり、マスコミからも多くの非難を受けました。1年経った現在においては新体制の下、新しいサービスも展開して相変わらず業界トップクラスの座を守り続けながら営業を続けています。
この会社のよかったところは、問題が発生したとき何はともあれ500円の見舞金を無条件で顧客全員に払ってしまったこと。トップが謝罪会見を開いて誤ったこと、そして社長が責任をとって交代し、新しい社長が問題の再発しない新しいサービス(顧客登録をせずに通信教育が受けられるサービス) を始めたことです。これにより、この会社は数千万件の情報漏えいという大事件を乗り越えて、現在も元気に営業中です。
つまり、お金を出すこと、トップが謝ること、責任者が交代すること、今後の再発防止策を打ち出すこと、これらを比較的短期間のうちにできたことがこの会社のよかったところといえるでしょう。
そして、大切なことは、こうしたことを事件が起きてから考えるのではなく、最初から想定しておくことです。(このことは、例示した通信教育会社もやってはいなかったようですが、うまく運用すればこの会社よりも早く対応がとれると思われます。)
この記事は参考になりましたか?
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント東京地方裁判所 民事調停委員 IT専門委員1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より20...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
