「インシデント対応のタイムスケジュールが早いか遅いか、当事者になってみるとわからないのが正直なところ。外部から『早いね』と評価いただきましたが、強いて言えば各部門と経営層のコミュニケーションがもっと円滑にできていればという場面はありました」(辻氏)
今回のようなインシデントでは、一部門ですべての対応を完結できるわけではない。顧客に対する責任、外部への公開、そして経営へのインパクト、第三者評価。それぞれ担当部門がある以上、普段は相対することのない人たちとのコミュニケーションが必要となる。
「どう動けば良いのかわからず、何かやろうとしてもそれを他部門に対して口出ししても良いのかわからない。管理者は誰なのか、経営陣を始めとする人間が意思疎通の差配をもう少しできていれば、アグレッシブにもっと動けていたかもしれないですね」(辻氏)
しかしこれもまた、誰が悪いという話ではなく、組織として経験不足であったことに起因するかもしれないと辻氏。
「標的型攻撃の模擬テストや、普段からインシデントレスポンスに対する考え方を会議などでお互いに認識する必要があります。組織に浸透させるということは難しくて、『緊急なのか』『重要なのか』といったプライオリティ、それらをあうんの呼吸で伝えることは、やはり普段からのコミュニケーションが大切だと思います。ただ、こういう会社だからかもしれませんが、インシデントが起こって『対処すべき事柄がどんどん増えていくことが嫌だ』という空気を出す人がいなかったことは、幸いでした」(辻氏)
「僕がいたから、ではない」情報公開の流れ
SBTに辻氏がいるという事実は変わらない。しかし、「ほかの企業に辻さんはいませんよね?」という質問を投げかけた。
「『情報を出す』という意思決定をしたのは社長の阿多です。確かに僕が言わなかったら出なかった細かい情報はあるかもしれません。ですが、個人の誰かに依存するのではなく、組織として適切に情報を公開できるか。それが大切なんです」(辻氏)
今回の情報公開は、「自分たちが起こしてしまったことは、こういう公開の仕方がある」というケースにならなければならないと思ったと辻氏は振り返る。この事例が"テンプレート"としてさまざまな企業に活用されることはあるかもしれないが「この形でなければならないという押し付けになってほしくない」(辻氏)