各企業の事故対応から得る学び

イベント後半は、審査員によるパネルディスカッションが行われた。

まずは、参加登録者を対象にした事前アンケート「2019年で良かったと思うインシデント対応」の結果ランキングが発表された。多数の支持を得て1位となったのはスマホ決済サービス「7pay」の事例である。これについて根岸氏は「意外だった」と驚きを隠さない。7payは昨年、重大なセキュリティ事故を起こして事業撤退しており、当時は批判一色だったからだ。

北河氏は、7payについて「(事業自体を)やめたことは正解だったが、やめざるを得なかったというのが正しいのでは」と分析。また、piyokango氏は「同様のサービスにとって考えさせられる事例」だとし、「サービスの停止の仕方がポイント。7payは多くの人がチャージしていたが、サービス終了後に『少額なので(払い戻す作業は)もういいや』という人もけっこういた。サービスを終了するときどうするのかは考えておかないといけない」と提言した。

7payに続いて評価が高かったのは大容量ファイル転送サービス「宅ファイル便」の個人情報流出事例だ。この件についても、最終的にはサービス終了をもって収束した。

これについて辻氏は、「起きた出来事は良くなかったが、自社にとって不利な情報を公開することがまだ当たり前にはなっていないなかで『流出したパスワードが平文でした』ということをきちんと発表したのは良かった」と評価する。

また根岸氏は、「(7payや宅ふぁいる便の事例を)回答者が良対応に選んだのは『自分だったらこんなに早く終了の判断をできるか』と考えたからでは」と推測する。

さらに徳丸氏は、サービス終了の観点から「宅ふぁいる便はあくまで転送サービスでありストレージではないので、ユーザーにとって撤退は大きな損害にならない。これが電子書籍サービスだったら購入した本が読めなくなるわけで、ユーザーの損害は大きいものとなる。サービスを企画する段階で、こうしたことも含めて考慮しておくべき」と見解を示した。

宅ふぁいる便と同票を獲得したのが象印マホービンの事例だ。同社が運営するECサイトが不正アクセスを受け、顧客情報が流出したのである。

徳丸氏は同社の対応の速さや公開情報の詳細さを評価した上で、「流出したクレジットカード情報を使って別サイトでフィッシングされる例は多いが、象印マホービンはその度にお知らせのメールを出している」と長期間にわたるサポートについても好印象だったとコメント。

一方、piyokango氏は、「自社では対処しても、盗んだ情報を他社のサービスで悪用される可能性はある。そうしたなかでいつまで情報を公開し続けるべきなのかという点については考える余地がある」と対応範囲と期間について問題を提起した。

選考外ではあるものの、話題に上った良対応

アンケートではノルウェーのNorsk Hydroの名前も挙がった。同社がランサムウェアによるサイバー攻撃を受けた際、極めて迅速かつ誠実な対応を行ったという事例だ。海外企業であるためにアワード選考対象外ではあったが、その対応ぶりは審査員の間でも話題に上っていたという。

「グローバルで見ると、2019年度で一番良かった事例だと思っています。『何かが起きているかもしれない』というリリースをすぐに出したことや、Facebookだけでなく、さまざまな情報公開ルートを持っていることが素晴らしいです。事件発覚の翌日にはWebキャストを実施することを発表し、質問に答えていました。何より、すぐにそういったことをできる仕組みを持っていることがすごいと思います」(辻氏)

これを受け、北河氏は「コンシューマー向け製品を持つ企業ならば、SNSなどの(ユーザーが目にする)経路でお知らせを出せばよいが、BtoB企業は、どこにどのように情報を出すかを考えておいたほうがいい」とアドバイスする。

頻繁に公開される情報には毎回、復旧状況も記載されていたほか、CFOが情報発信するなど、リーダーシップも可視化されていたという。こうした迅速な対応に、根岸氏は「(日頃のシミュレーションなどで)慣れている感がある」とコメントを寄せた。

* * *

今回もさまざまな優良事例が登場した事故対応アワードは、今年で5回目を迎えた。辻氏は「5年やってみても、まだまだ(アワードの趣旨が)企業に伝わっていないと感じるし、やりたいことができていない。やはり、続けていかないと理解は得られないので、最低でも10年は開催し続けたい」と意欲を見せ、イベントを締めくくった。