2. 初動:現場の判断/対応は?
クレジットカード会社からの連絡翌日、ぴあはB.LEAGUEの全試合会場にスタッフを派遣し、問い合わせ対応を実施。さらに専用ダイヤルも開設するなど、非常に迅速な対応が行われたという印象だ。
根岸氏が「裏でどういう経営判断が行われたのか?」と尋ねると、小林氏は、「サイバーセキュリティ分野に限らず、イベントの開催中止など、ぴあはトラブル対応の経験が豊富。事故発生の連絡があれば、15分後には関係者が自主的に集まる風土がある。経営層への報告書作成などよりも、お客様と取引先対応を何よりも優先させている」と、各担当の現場判断によって動ける仕組みが出来上がっていることを説明した。
3. 調査:当時を振り返った反省点
事故に関する対外発表は、サイト停止から1カ月後に行われた。フォレンジック調査はこの間に「かなり急いで実施していただいた」(川上氏)という。そこで、根岸氏が「データが足りていなかったので調査が難航したなど、調査にあたって課題はあったか?」と質問。
川上氏は「事故が発生した際、開発会社側で(コピーを取らずに)環境を少し変更してしまったことで、調査の箇所が増えてしまった。事故が発覚した時点で環境を保全しておけば、より迅速な調査ができたのでは」と振り返った。
4. 関係機関への連絡:経産省への「報告」
事故発生後には、経済産業省、顧問弁護士、監査法人、警察、保険会社など、関係機関への連絡が必要となる。piyokango氏が「経産省へ報告する際のテンプレートはあるか? また報告の段階では情報は揃っていたのか?」と問うと、「個人情報保護委員会にテンプレートがあるので、経産省にはそれに沿ってあくまで第1報として報告し、事態が収拾した9月に最終報告を提出した」と川上氏。さらに小林氏が「PCの盗難など小さな事故でも、相談すると公表すべきかどうかなど他社の事例も踏まえながらアドバイスをもらえる。隠さずに相談や報告をするほうが良い」と付け加えた。
5. 補償:サイバー保険は必要?
事態が落ち着けば、次に考えるべきは補償だ。今回のケースでは、クレジットカード情報の漏洩によって不正に使われた金額の全額、およびクレジットカードの交換費用をぴあが負担するかたちとなった。保険に加入していたことにより、クレジットカード会社からの請求分は保険でカバーできたという。
ここで、徳丸氏が「(どんな企業でも)サイバー保険は入っていたほうが良いものか?」と問いかけた。
川上氏は「今回に関しては入っておいて良かったのはもちろんだが、扱っている情報次第だとは思う。特にクレジットカード情報をはじめとする個人情報を扱っているのであれば、ある程度備えておいたほうが良いのではないか」と見解を述べた。
6. 再発防止:反省を踏まえた施策
外部の専門家も含めた再発防止委員会により、「リリース時のセキュリティ観点でのチェックが弱かったことが今回の事故につながっている」とされたことから、ぴあは再発防止策の1つとして、開発段階でのセキュリティ要件の見直しを実施。セキュリティガイドラインに基づいた要件リストを作成し、リリース時に脆弱性診断と共にチェックシートを確認する体制を整えた。徳丸氏より「チェックシートの運用は難しい」という指摘があったが「少なくとも、担当者が具体的に細かく突っ込んで確認するようにしている」(川上氏)とのことだ。
* * *
6つの各段階の解説においては、それぞれのプロセスでの心境や警察への相談はどうするのか、顧客へのお詫び内容はどのように決めるのかなど、具体的な質問が次々に飛び出し、事故に直面したぴあだからこその経験に基づいた内容が語られた。
今回の事故を総括して、小林氏は「事故の公表に関するスタンスは事前に決めておいたほうが良い。『できる限り隠そう』という発想もあると思うが、ぴあは『全て公表する』という方針が大前提にあったので、今回スムーズに対応できた」と振り返った。
一方、セキュリティ事故対応アワードの実行委員長を務める辻氏は、「事故対応アワードは今年で3回目。今回はこうして受賞企業の特別講演まで実施できたことが、非常に感慨深い」と語る。
同氏は、「事故を起こした企業を表彰するということに違和感を持つ人もいるかもしれないが、企業が非難を恐れて情報を出さないと、結局皆が損をすることになる。ギスギスせずに情報公開できる世の中になるように、今後も続けていきたい」と力を込め、セミナーを締めくくった。