【個人情報漏えい】不正アクセス発覚後の対応【初動対応】
2016/06/28   危機管理, コンプライアンス, 個人情報保護法, その他

はじめに

　株式会社ジェイティービー（以下、JTBといいます）は、14日、グループ会社のサーバーが外部から不正にアクセスされ、個人情報が漏えいした可能性があることを発表しました。観光庁は、15日、公表の遅さなどを問題視してJTBに不正アクセス発覚後の対応措置などについて報告書の提出を指示しています。不正アクセス発覚後にいかなる対応策をとるかはその後の企業イメージにも大きく影響します。
　そこで今回は、法務担当者はいかなる対応を検討しておくべきかについて見ていきたいと思います。

発覚後の対応の目的

　発覚後の対応の目的は、情報漏えいによる直接的・間接的被害を最小限に抑えることにあります。情報漏えいによって自社に生じる被害だけでなく、直接被害を受ける個人、取引先等に対し被害の拡大を防止する必要があります。

対応の流れ

　不正アクセス発覚後の対応は一般的に、①発見及び報告、②初動対応、③調査、④通知・報告・公表⑤抑制措置と復旧⑥事後対応の段階にわかれます。
　以下では、それぞれの中身について見ていきます。

①発見及び報告

　この段階では、不正アクセスの痕跡が発見された場合に速やかに報告することができる体制をとっておく必要があります。注意すべきことは、不正アクセスの証拠が消えてしまわないように、不用意な操作をしないことです。具体的には、発見したらすぐに不正アクセスの痕跡がみられる画面のスクリーンショットを撮るなどの指示をすることが考えられます。

②初動対応

　各担当者の対応の一貫性を確保するため、対策チームを設置して、当面の対応方針を決定します。そして、さらに情報が流出しないように必要な応急措置をとります。具体的には、さらに被害が広がる可能性があるなどの場合には、ネットワークの遮断なども検討すべきと考えます。

③調査

　適切な対応をとるためには正確な情報を把握する必要があります。そこで、事実関係を調査したり、証拠の確保をします。注意すべきことは、正確な情報が報告されるように、５W１Hを意識した報告書の書式を用意して、関係する部署に報告を求めることだと考えます。

④通知・報告・公表

　漏えいした個人情報を本人への通知を行います。また、脅迫等の犯罪があった場合には警察へ届出をします。その他、監督官庁や取引先などにも通知を検討します。情報を公表したことでかえって被害の拡大を招くこともありえますので、公表の時期や対象は慎重に検討すべきです。

⑤抑制措置と復旧

　被害の拡大の防止や、復旧のための措置をとります。例えば、専用の相談窓口を設置するなどして素早く対応できるようにします。また、再発防止措置を施したうえで、②でしたネットワークの遮断等を復旧します。単に窓口を設置しても認知されないと被害防止ができないため、積極的な告知をすべきと考えます。

⑥事後対応

　⑤の措置にとどまらず、抜本的な再発防止策を検討し、実施します。また、被害者に対する補償等について必要な措置を行います。さらに、不正アクセスに責任がある者への必要な処分も行います。

コメント

　JTBの発表が不正アクセスを確認してから約3か月後と遅れたことから、監督官庁である観光庁から報告書を提出するよう指示がでたり、メディアから批判の声が上がったりしています。発表が遅れれば遅れるほど、被害の拡大が避けられず、もみ消そうとしたなどとあらぬ疑いを受ける恐れがあります。
　そのため、法務担当者は、公表を速やかにするため、①の不正アクセスが速やかに報告される体制作りや②の対応方針のひな形の準備やネットワークから遮断する方法のマニュアルの作成などを重点的にすべきと考えます。