企業におけるセキュリティの重要性が広く認識されても、深刻な情報漏洩事件は後を絶たない。それどころか大規模な事故が増えつつあるようにも思える。また、世間を騒がせた情報漏洩事件の中には、発覚後の漏洩元の対応の在り方が非難されているケースも少なくない。

長島・大野・常松法律事務所 弁護士 辺誠祐 氏


>>セミナー詳細ページは
こちらからご確認ください

このような背景を受けて、9月11日に「情報漏洩対策 / セキュリティセミナー(仮)」が開催される。同セミナーの基調講演では、長島・大野・常松法律事務所の弁護士 辺誠祐氏が、情報漏洩事件への企業対応の在り方について解説を行う予定だ。本稿では当日のセミナーに先立ち、情報漏洩事件に対応する際の留意点について、同氏に見解を語ってもらった。

平時の管理体制だけでなく有事の管理体制にも留意することが必須

辺氏は、「情報漏洩問題に対応するためには、情報漏洩を未然に防止するための平時の管理体制と、いざ情報漏洩が発覚した場合にそのダメージを最小限に抑えるための有事の管理体制の両輪で対応しなければなりません」と述べる。

「多くの企業においては、情報漏洩という問題の発生を防止するため、セキュリティ対策等、様々な対策を講じられていると思います。しかし、情報漏洩というリスクをゼロにすることが難しいことも事実です。そこで、企業においては、情報漏洩が生じた場合に、どのように対応するべきかという有事の管理体制を講じておくことも非常に重要です。このような管理体制を構築していると、漏洩の範囲の特定や、漏洩した情報の本人への連絡など、情報漏洩発覚時に適切な対応を迅速にとることが可能となるからです。しかし、このような管理体制を構築せず情報漏洩発覚後の対応を誤ると、対応の誤り自体に対して社会的なバッシングがなされ、二次的な不祥事を誘発してしまうことになります」(辺氏)

では、このような事態に陥らぬよう、企業は具体的に何を講じるべきなのだろうか? 辺氏は、情報漏洩の社内報告体制や対応メンバー等を事前に決定しておくことを有事の管理体制の一つとして指摘する。

「大規模な情報漏洩が発生した場合、担当者の皆様は、どうやって行動するべきかが分からず、パニックになってしまうことが少なくありません。そこで、危機発生時の報告体制や対応メンバーをあらかじめ策定しておくことが、非常に重要となります」と辺氏は言う。

このような対応メンバーが、外部の専門家との連携を図った上で、個別の事案に応じて求められる適切な対応をとることが、情報漏洩のダメージを最小限に抑えるための一つの解決策となる。

「情報漏洩事件においては、個人情報が漏洩したのか、企業の営業秘密が漏洩したのか、内部者の行為によるものか、外部からの攻撃によるものか等といった点によって、対応方針が異なってきます。そのため、迅速に事案を見極めることが重要な初動対応のステップとなります」と辺氏は述べる。

ここで触れたような、情報漏洩発覚後の企業の対応の在り方の詳細については、セミナー当日に辺氏が過去の事例も踏まえて詳しく説明を行う予定だ。また、そのような有事の管理体制の内容を踏まえた上で、法的な観点から、平時の情報管理においてどのような点に留意すべきかについても言及がなされるという。最後に、辺氏は、当日のセミナー来場者に向けて次のようなメッセージを発してくれた。

「情報セキュリティに対する意識が高まっており、情報漏洩を未然に防止するための平時の管理体制の構築に尽力されている担当者の方々が多いと思います。しかし、いざ情報漏洩が発覚した場合に対応を誤ると、多くの苦労をかけて構築した平時の管理体制が無に帰してしまうことも少なくありません。講演では、そういった問題意識や適切な対応のためのヒントを少しでもつかんでいただければと考えています」

(マイナビニュース広告企画)

[PR]提供:マイナビ