国内旅行代理店大手のJTBは6月14日、最大790万件の個人情報漏洩の可能性を公表した(関連記事1:「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪、関連記事2:[詳報]JTBを襲った標的型攻撃)。公表内容によれば、事故の発端は3月15日のウイルス感染だという。
この事故の第一報に耳にしたとき、記者は「3カ月も経過してから第一報は遅すぎではないか」と感じた。その後詳しい情報に触れて、同社の事情や立場もある程度は理解はできたものの、それでも同社が情報漏洩の可能性を確認した5月13日を起点に公表を決めたのは遅すぎると考えた。その前に公表できるタイミングが、本当になかったのか。
読者の方々は、同じ日に別の情報漏洩事故が公表されていたのをご存じだろうか。電子部品などを手掛ける双葉電子工業の子会社、フタバ産業(同名の自動車部品メーカーとは無関係)が、オンラインショップの顧客情報を漏洩したと発表していたのだ(フタバ産業のプレスリリース)。フタバ産業の場合、不正アクセスが発生したのは2014年9月24日。実に2年近く前の漏洩事故を、今になって公表した。ただし、公表が遅くなったのには相応の理由がある。詳しくは後述するが、フタバ産業が情報漏洩の事実を知ったのがつい最近だったからだ。
JTBは、事故の発生から公表までに3カ月かかった。一方のフタバ産業は、2年近くたってから公表した。JTBの件は大きく報道され、企業価値が少なからず毀損したと思われるが、フタバ産業の件はほとんど報道されていない。企業価値の保全という観点から見ると、JTBは現段階では失敗と言わざるを得ないし、意図したものではないがフタバ産業は成功したとも言える。記者は考えてしまった。
もし情報漏洩などのセキュリティ事故が発生したら、いつ公表するのが企業価値をもっとも下げずに済むのだろうか。いくつかの角度から、両事故を見てみよう。
ニュースになっていない
まず、フタバ産業の事故を見てみよう。
フタバ産業の親会社である双葉電子工業は、東証一部上場企業の電子部品メーカーである。「ラジコンカーのフタバ」といった方が、ピンとくる人が多いかもしれない。現在では、ドローンや家庭用ロボット「ロビ」(デアゴスティーニ・ジャパン発売)の部品供給を行う企業だ。
