個人データを、ビジネスを守る、IIJ

【論説】情報漏洩時の有事対応シリーズ②:不正調査・危機管理専門家の視点


情報漏洩時の有事対応シリーズ① 」の重要ポイント:万全な事前準備なくして、迅速・適切な初期対応は困難

  1. 情報漏洩は起きるかもではなく、いつか起きるものとして平時から社内体制・プロセスを整備
    ・悪意ある者が脆弱性を突く不正が存在する限り、完全な予防対策は存在しない
  2. 万全な事前準備なくして、迅速・適切な初期対応は困難
    ・社内体制・プロセスの簡素化(例:インシデント対応関連規程、マニュアル、権限付与)
    ・実効性維持のために事例に基づく模擬訓練やサプライズ監査等の実施(仏作って魂入れずはダメ)
  3. ハードターゲットになる
    ・ベストではなく、ベターなITセキュリティ対策の導入
    ・①リスク管理意識及びコンプライアンス意識の再徹底、②統制環境の改善(相互牽制機能の強化)、③経営管理体制の強化といった「精神論」だけでは抑止力として不十分
  4. 迅速・適切な初期対応は、甚大な二次・三次被害の回避だけでなく、会社の真摯な取り組みを外部にアピールするリカバリー・チャンスでもある
    ・後手の対応により、二次・三次被害が発生し、結果的に会社へのダメージ大、コスト高になった事例が多い
    ・監督機関への協力的な対応は制裁金減額の重要な要素可能性あり
  5. 平時から経営層のリスク感度を維持するため、最新事例の情報共有を適宜行うことで、有事の全面サポートが得られる土台作りをしておく
    ・取締り動向、他社の対応状況、訴訟リスクについて、実例に基づいた正しい理解をインプットする(参考:消費者データ、子供のデータ、健康データ、従業員データはリスクが高い)

上記の詳細については、第7回オンラインセミナー「情報漏洩時の有事対応上の実務ポイント」 でご参照下さい。

情報漏洩発生の疑惑あり:どこまで調査するか?

情報漏洩や紛失事故の疑惑が発覚した場合、その実態解明に向けた取り組みが必要となるのは当然ですが、調査の目的が当局への報告なのか、顧客を含めたステークホルダーに対する説明なのか、関係者の懲戒処分なのかによって、調査範囲やスピード感は大きく異なります。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事