インターネット上の掲示板に「自社の情報がWinnyネットワークに情報漏えいしている」という書き込みを見つけた。調査の結果,情報漏えいの事実の確認が取れた。情報システム部門に所属するあなたがとるべき行動で,不適切な行動はどれか。以下の選択肢から一つ選びなさい。
[選択肢]
a. 情報漏えいを起こした社員を特定し,特定できたら社員同行のうえ自宅のパソコンを確保する
b. 外部からの問い合わせとなる広報の窓口を一元化するとともに,そこを通じて正確な情報を逐次公開する
c. 事前に準備しておいた連絡網を通じて,情報システム部門,広報,法務部門などから選抜した緊急時対応チームを召集し,事前に策定しておいたマニュアルに従って行動する
d. 情報漏えいの新しい事実が判明した際には,自社のWebページで事実を報告する
e. 自社の情報がインターネット上の掲示板に書き込まれていることを理由に,掲示板の管理者に該当の書き込みを削除してもらう
[解説]
問10の正解は,選択肢eの「自社の情報がインターネット上の掲示板に書き込まれていることを理由に,掲示板の管理者に該当の書き込みを削除してもらう」です。
それぞれの選択肢に以上の原則をあてはめてみましょう。
選択肢aは,「被害拡大防止・二次被害防止・再発防止の原則」に該当します。証拠隠滅させないために社員に同行して情報漏えいを起こした可能性のある社員のパソコンを確保し,そのパソコンから業務情報がどれくらいパソコン内に残っているか,どういったウイルスに感染しているかなどを確認し,情報漏えいの最大範囲を特定します。加えて,該当社員のパソコンをWinnyネットワークから切り離すのは最優先課題の一つです。
選択肢bは,「事実確認と情報の一元管理の原則」に該当します。正しい情報を正確に情報公開しなければ,情報を受け取る側も混乱してしまいます。
選択肢cは,「チームワークの原則」と「備えあれば憂いなしの原則」に該当します。あらかじめ,こういった情報セキュリティ事故発生時に向けて,連絡網,役割分担表などの各種のマニュアルを準備しておけば,いざというときに慌てなくてすみます。
選択肢dは,「透明性・開示の原則」に該当します。正しい情報公開が問題の沈静化には一番効果的です。事実の公表,事後の対策まで含めて,必要な情報を必要な時期に公開できるようにしましょう。
選択肢eが,上の5原則のどれにもあてはまらない行動です。例えばこの場合では,都合の悪い情報だからといって掲示板の投稿内容の削除依頼をしたとすると,もしそれが事実であった場合,かえって火に油を注ぐ結果になる可能性があります。情報を公表するとしたら,自社のWebページで公表するのが正しい方法です。
(参考リンク)IPAの「情報漏えい発生時の対応ポイント集」
http://www.ipa.go.jp/security/awareness/johorouei/