震災の影響で情報セキュリティに対する企業の取り組みは、リスク全体から見た場合にプライオリティが一時的に下がった感がありました。これは、想定外のことが起きてしまった以上、やむをえないことでしょう。
しかし、PlayStation Network(PSN)とQriocityの情報漏洩事件があってから、急速に情報セキュリティ対策に見直しの機運が高まってきています。特にグローバルに展開している大企業を中心にその動きは顕著なようです。
これまでも個人情報漏洩は数多くの企業が経験してきました。その結果として、企業は個人情報漏洩に対してある種の「慣れ」が生じていたのではないでしょうか。個人情報漏洩は、発生時にはとても大きなインパクトがあります。問い合わせやクレームへの対応、広報としてアナウンス活動、法的な対応や所管官庁への届出など、同時に様々なことに対応しなければいけません。
しかし、マスコミは漏洩件数が多くないと取り上げませんし、もし取り上げたとしても一時的で、その後の対策や根本的な原因についてまで追跡取材を行うことはまれです。初動の対応を誤らなければそれほど大きな騒ぎにもならず、時間と共に急速に忘れ去られていくのです。
また、日本では損害賠償もほとんど企業にとっては問題にならない金額といえるでしょう。少し前には集団訴訟の脅威なども叫ばれていましたが、実際に企業の経営が傾くほどの集団訴訟はないようです。今では、個人情報漏洩を起こした企業は、現金ではなく自社のポイントやサービスを無償提供するなど、ある種のプロモーションではないかと思える対応をしています。
日本人は基本的に訴訟に対して積極的ではありません。それは裁判で誰かを訴えるということへのプラスのイメージが少ないこと、周囲が応援するようなこともあまりないこと、などが要因でしょう。
従って、日本の多くの企業では個人情報漏洩によるリスクの大きさをおおむね予想できるようになってしまったのです。
ところがPSNとQriocityからの情報漏洩は、これまでの考え方を覆すような展開を見せています。まず、漏洩件数が膨大で、1億件を超える大量の個人情報が一度に流出しました。米国では集団訴訟が起こされ、事件処理や損害賠償に数千億円以上かかる可能性もあると見る専門家もいます。さらにハッカー集団が攻撃に関わったのではないかとする報道もされ、多くの問題を投げかけました。そして、それは一般にITには詳しくない日本の経営層にとってもインパクトがあったようです。
「我が社のWebサイトのセキュリティは大丈夫なのか」「我が社はハッカーに狙われていないのか」などとマスコミの報道をきっかけとした問題提起がトップから情報セキュリティ担当部門に降ってきているのです。
情報セキュリティを真面目にやっている方々からすれば、なにを今さら、という感覚だと思いますが、経営者にとっては、我が身に降りかかってくれば、とんでもないことになりかねないと感じたようです。
今回の大規模情報漏洩について今さら解説することもありませんが、この原稿を書いている今、その企業のインドネシアのWebサイトが改ざんされたままになっています。改ざんされたまま何時間も放置されているということは、Webサイトの運営そのものを自社で把握していないのでコントロールできない、すなわちセキュリティが自社の管理下にないということを物語っています。
このような対応が続くことによって、グループ全体の信頼は高まることもなく、ユーザーへの対応が十分ではないなどの批判を受け続けるなどの、コーポレートコミュニケーションの不十分さも露呈しています。
ネットを利用したビジネスは、ネット企業が行う場合にはそれなりの覚悟と技術力で臨みますが、ネット企業ではない場合には苦し紛れに参入してみたり、お試し程度だったりすることが少なくありません。本業ではない上に良く分からないので、形だけ整えて、運用などは業者に丸投げという会社も少なくありません。
ところが、そんなネット進出が本業へも大きな影響を及ぼすかもしれないことが、今回の情報漏洩で明らかになったのです。情報セキュリティ対策の見直しの機運が一過性でないことを祈ります。
