第46回 KPMGが指摘する情報流出発覚後の対応策

国際的大手コンサルティング会社のKPMGが「個人情報漏洩発生時」に同社が提供できるサービスについて発表しているが、その中に、「発覚時の初動対応」「漏洩データのと漏洩元の特定」など、参考になる情報が掲載されている。このアドバイスを参考に、漏洩発覚時の取るべき対応策について考えてみる。

まず、情報漏洩の事実はどういうきっかけで発覚するか。KPMGは「重大な情報漏えいは外部からの知らせによって初めて気が付くことが多い」と指摘する。ベネッセの個人情報流出事件でもそうだったが、「顧客への勧誘電話・営業電話等の増加、カード不正利用の増加、外部アタックの検知、ファイル共有ネットワーク上のモニタリングなどによって」外部から注意を受けて気が付くケースだ。中には「マスメディアの報道、警察から連絡を受けて初めて知ったという事例」もある。

こうして、社外からの問い合わせや通知によって気が付いた場合はこのように、社外からの情報によって発覚した場合、流出した個人情報は意図的に盗まれて外部で流通して悪用されている可能性が強く、すでに広範に広がっていろいろな被害が発生していることが推定される。一刻を争う重大な事態に置かれていると考えて迅速な措置が必要である。

警察への報告はもちろんだが、企業としての社会的責任を果たすため、流出ルートについて社内の調査を始め、被害者などの関係者に報告し、謝罪する必要がある、とKPMGではアドバイスする。

さらにKPMGが強調するのは、被害の範囲がどれだけ広がっているかを早期に特定することである。「情報を持ち出されたデータ範囲の把握」と「漏えい元の特定」である。被害が広がらないように抑止するためには、被害がさらに広がる前に、「想定される被害の範囲を公表する」必要がある。

もちろん、漏洩したデータそのものを入手できれば事態への対応は早くなるが、実際には難しい。被害が出ているケースから流出ルートや流出元を分析して、流出した情報による被害範囲を推定して注意喚起の告知をしなければならないだろう。

KPMGでは「情報漏えいに起因すると思われる顧客からの問い合わせや、カードの不正利用などの発生傾向および内容から、データ項目、データの並び順について、傾向と可能性を分析するといったアプローチ」で情報流出ルートや流出元、流出したリストを特定する、と解説している。また「情報漏えいの発生を公表した後では、実際に被害を受けていない顧客からも問い合わせが多発するため、統計的分析を行う場合には留意が必要」と、既に被害が出ているケースとそうではないケースを区別して取り扱って混乱しないよう注意を促している。

個人情報漏洩に対して特効薬はなかなか見つからない。専門会社のこうしたアドバイスを受けながら、普段から、いざという時の適切な対応策を準備しておき、被害者を増やさないための配慮が必要だろう。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization