2011年4月に起きたソニーグループの個人情報漏洩事件。9月に発生した三菱重工業などの防衛産業メーカーへの情報漏洩事件など、サイバー攻撃と思われる事件が多発している。その現状と危機管理の態勢について、個人情報漏洩問題や企業危機管理に詳しいフォーサイト総合法律事務所の代表パートナーである大村健氏に話を聞いた。

(聞き手は渡辺 一正=事業部)

最近の「情報漏洩事件・事故」を見て、何か大きなトレンドがあるか。

フォーサイト総合法律事務所 代表パートナー 弁護士 大村 健(おおむら たけし)氏
フォーサイト総合法律事務所 代表パートナー 弁護士 大村 健(おおむら たけし)氏
[画像のクリックで拡大表示]

 基本的に人為的な事件・事故であることは変わりない。Webサーバーのアクセスパスワードのかけ忘れといったものから、公共の場所でのノートパソコンやUSBメモリーの置き忘れ、会社のサーバーから個人情報を抜き取って売り払うという犯罪に至るまで、さまざまなケースがある。

 ただし、2011年4月に発生したソニーグループへの外部からの不正アクセスのように、悪意ある外部からのサイバー攻撃などに注目が集まるようになった。特に目を向けるべきなのが、漏洩したと見られる個人情報の件数だ。これまでは、2007年に起きた大日本印刷の個人情報漏洩事件の約864万件が最大だった。しかし、ソニー事件では最終的に、全世界で約1億216万件もの個人情報が漏洩した。事件としては1件あたりの規模が大きくなっているし、情報漏洩事件の発生件数は決して減少していると言えない状況だ。

なぜ、発生件数が減らないのか。

 悪意のある人が減らないとか、いろいろな問題がそこにはあると思う。その一つに個人情報保護法違反に刑事罰がなく、強制力があまり強くないところがあるかもしれない。重大な保護法違反と判断したら先に行政処分が出る。その行政処分を無視する企業はそうそういないので、最終的に刑事事件に発展することはない。そういう部分が、情報漏洩事件・事故の発生件数が減らない遠因となっている気がする。

 ただし、損害賠償や企業信用度のダウンといったリスクは大変なものだ。先のソニー事件の場合、最初の情報漏洩事件の被害者7700万人のうち1%が損賠賠償請求裁判を起こすとする。その77万人に対して、1万円の賠償金を支払うことになれば、少なくとも77億円の費用がかかる。さらに、他社が情報漏洩事件を起こしたときに必ず引き合いに出されるなど、長期間にわたるイメージダウンの部分を足し合わせれば、その被害は甚大だ。

 情報漏洩事件は「発生した可能性がある」時点で、外部に公表しなければならない。マスコミなどへ広く公表する場合と、情報漏洩の対象となる顧客だけに限定するべきかは、その規模や内容に応じて選択することになるが、いずれにせよ早急に開示することが重要。特に、BtoCビジネスをしている企業にとって、情報の即時開示できるかが、その後の信用回復に大きな影響を与える。情報漏洩の可能性が発覚した段階で、きちんと公表すべきだ。

もし、情報漏洩事件が発生してしまったとき、これだけはしてはいけないことはあるのか。

 その場かぎりの対応を、いろいろな人が勝手にやらないということが大事だ。窓口を一本化せずに、相手によってまちまちな対応をしていると後から大変なことになる。「すべての人に応じてよい対応であるか」を、判断基準とするとよいだろう。一人の顧客に対応した内容が、他のすべての人に適用したとき、実現不可能だと判断したら、応じかねることをその時点で伝えるべきだ。

 そのためにも、問題が発生したときに、誰が何をすべきかなのか、事前に手順を明確にしておかなければならない。情報を誰に集中させて、どう対応するかといった手順をマニュアル化しておかないと、初動に遅れが生じる。情報漏洩問題のような危機管理は時間との勝負なので、すぐに対処できる態勢を整えておく必要があるわけだ。

 実際にどのような準備が必要なのか、どこまでやれば十分なのか、といった疑問は尽きない。事前に相談相手を見つけて、内容を確認しておくことが必要になる。顧問弁護士や知り合いの法務関係者などから、情報漏洩問題などに詳しい弁護士事務所にアクセスしておくと良いだろう。