NJ Publishing Sales - NJ Business Online

総務・人事 | エヌ・ジェイ出版販売株式会社


【お知らせ】 月刊「企業実務」好評発売中!

Home総務・人事企業実務TOPICS(総務・人事) ≫ 初期対応から後処理まで 重要データの紛失(流出)が疑われるときの実務対応...
公開日:2014年7月16日

初期対応から後処理まで 重要データの紛失(流出)が疑われるときの実務対応 月刊「企業実務」 2014年7月号

増井敏克(技術士(情報工学部門))

企業実務TOPICS(総務・人事)


このエントリーをはてなブックマークに追加  

いくら注意を払っても、会社情報(重要データ)の流出リスクをゼロにすることはできない。
いざというとき迅速かつ適切に対応するには、事前準備がポイントだ。
その手順と対策についてまとめた。


トラブルがあったときの対応手順を把握する

まず、実際にデータの紛失・流出の疑いが発生した場合の対応手順を理解しておきましょう。

図表1 対応のステップ
図表1のような流れで対応することになります。

(1)被害拡大の防止

最優先に実施すべきなのが「被害を最小限に抑えること」です。特に「二次被害」を防ぐことが重要になってきます。
たとえば、電車の中に個人情報が入ったカバンを置き忘れたかもしれない、といった場合は、駅や電鉄会社に連絡して、カバンの回収を図ることが最優先です。その時点で回収できれば被害は広がりません。

顧客のパスワードが流出した疑いがあるときは、パスワードを無効化してログインできないようにすることが先決です。そうした情報がどこかに公開されたというのであれば、早急に管理者に削除依頼を出します。

ウイルスの感染によるパソコンからのデータ流出が疑われるときは、そのパソコンをネットワークから切り離して影響を防ぎます。

そうしたパソコンを放置すると、ネットワーク上の社内の他のパソコンへの感染を招くだけでなく、社外のパソコン等への攻撃に使用されることもあるからです。

クレジットカード番号や口座情報などの個人情報が流出すれば不正利用される可能性がありますし、そこまでの情報がなくとも名簿として悪徳商法の勧誘などに用いられる場合があります。

情報システムに脆弱性がある場合は、情報の流出だけでなく、ホームページの書換えなどが行なわれる可能性があります。

そうしたときは、プログラムの修正などによって脆弱性を除去するまでいったん公開を停止する、などの措置を行ないます。

また、パソコンからの流出の可能性があるときに注意すべきなのが「証拠の保全」です。

パソコンは操作をしてしまうとログが消える可能性があります。不用意に操作せず、トラブルが発生した当時の内容を残しておくとともに、一刻も早く専門家に確認を依頼しましょう。

内部犯行による流出が起こった場合には、流出を起こした社員のパソコンを差し押さえる必要があります。

(2)正確な情報の把握

被害拡大の防止を実施しつつ、正確な情報の把握に努めます。
事案を公表する際に、誤った情報を発信するとさらなる混乱を招くため、社内に対策本部を設置するなど、情報を1か所で取りまとめるようにします。

このときのポイントは「影響範囲の特定」です。
データを紛失しても、そのデータは暗号化されていて不正利用される可能性は低い、というケースもあります。

そのうえで、把握した内容を整理します。通常のビジネス文書と同様に、図表2の項目を網羅するよう、事前に報告書のフォーマットを作成しておきましょう。

図表2 データ流出が起こったときに確認すべき情報

(3)公表

初期対応が一段落したら、タイミングを見計らって公表を行ないます。
情報を隠しているとみられると反感を買います。
対応が後手に回ることがないように、必要な情報が揃い次第、順次公表します。

個人情報の流出の場合は、本人への通知、お詫びとともに、迷惑行為が発生する可能性についての注意喚起を行ないます。

監督官庁への届出やホームページへの掲載、メディアを通じた公表(記者発表)などが必要なケースもあります。

個人情報保護法では、5,000件を超える個人情報を個人情報データベース等として所持し、事業に用いている事業者は個人情報取扱事業者とされます。
個人情報取扱事業者には個人情報の取扱いについて主務大臣への報告を行なう必要があるとされており、経済産業省の個人情報ガイドラインでは、個人データが漏洩し、二次被害が発生する可能性が高い場合等は、主務大臣に逐次速やかに報告することと定められています。

情報が流出したときに、自社はどこに報告することになるのか整理しておきましょう。

(4)再発防止策の実施

発生した事案の内容に応じて対策を検討し、実行します。

管理していた顧客の個人情報が流出したときなど、ケースによっては被害者に対して損害賠償を行ないます。

今後の再発防止においては、管理上の問題点の有無(責任の所在)を明らかにし、PDCAサイクルを回す(計画→実行→評価→改善を繰り返す)ことが必要です。



このエントリーをはてなブックマークに追加  




PAGE TOP