最近のビジネスを取り巻くIT犯罪事情

昨今では、不正アクセスにより大量のデータが盗取される事件が発生しており、国内外でも大規模な個人情報漏洩事件が確認されている。2007年、大日本印刷から約864万件の個人情報が流出した事件が発生し、日本人口の約6％相当（当時の報道）の個人情報が漏洩したとされた。

一方、米国では、2009年8月17日(米国時間)に、2006年末から2008年初頭のわずか2年強の間に1億3000万件（米国人口の約41％に相当）のクレジットカード情報を盗み出した罪で28歳のアメリカ人が告発された。情報漏洩件数1億以上という数字は全米のサイバー犯罪史上でも過去最高規模となった。被疑者は2人の姓名不明なロシア人と共謀して米国内のさまざまなシステムにハッキングを繰り返し、カード処理会社の米Heartland Payment Systems、米7-Eleven、スーパーマーケットチェーンの米Hannaford Brothersと企業名不明の2つの小売りチェーンの計5つの大手システムでのハッキングと情報吸い出しを行っていた。

不正アクセス者との闘い――突然の招かざる客にどう対応する？

以下の事例は、実際に発生した不正アクセス事件における企業対応をモデルにしている。一般の企業にも、いつでも発生しうる事例としてご紹介する。

現在、ホームページを有する企業は数万社、また、ホームページ上で会員申込みや物品の購入、ホテルの予約などのサービスを提供する企業も多数ある。A社はそんな会社の一つだ。そして、ある日突然事件が発生した。A社はその対応に莫大な費用がかかることを知り、驚愕する。

（発覚1日目）
委託している外部のホームページ管理会社から、「不正アクセスの侵入があり、何らかのウィルスに感染した可能性がある」との報告を受けた。この種のウィルスは、常に進化していて対策側とのイタチごっこだ。A社は直ちにウィルスの特性と感染データを調べるよう、専門家に指示した。

（発覚2日目）
会員からは特に今のところ苦情等はない。一方で、社外の専門家は驚くべき事実を伝えてきた。ウィルスは至るところに張り付いていたが、その中に会員リストも含まれていた。A社は予約や物品の購入がホームページ上で終了すると、申込内容を確認するための自動メール返信機能があり、その機能の中で必ず当該会員リストにアクセスして会員データを検証するしくみとなっている。これにより、申込者に自動返信されたメールには、ウィルスが付いた状態で送付されるという事態が発生していたことが判明した。

さらに、この送付されたウィルスメールを開封すると、今度は申込者のパソコンに取り付き、申込者のパソコン内にある情報が不正アクセス者に送付されるという新たな危機が発生することも判った。

（発覚3日目）
幾つかの問題点が発生した。A社はホームページのWebサーバーについて、バックアップを取っていなかった。本来、感染時期がわかれば、そこまで遡って修復をすることで早期にサービスを開始できるが、バックアップがないことで、修復には相当の時間がかかり、ホームページ上の多くのサービスを停止せざるを得なくなった。また、発覚後、直ちにウィルスの除去を行い、是正策を講じていたが、感染後から発覚までの数日間にアクセスしてきた会員に対しては個別に通知を行う必要があったこと、さらに、ホームページ上においても「お詫びのお知らせ」を開示しなければならず、多数の問い合わせが予想されるため、Q＆Aの作成や、対応者の訓練、回線確保などの準備にも追われることになった。

（発覚4日目以降）
発覚までの数日間に約4000人の新規会員の登録があり、これらの会員を対象に、感染の可能性を知らせるメールでの通知が開始された。また、同時にホームページ上でも「お詫びのお知らせ」を開示した。専門家の実現テストで、ウィルスは通常の対策ソフトで駆除できるとの報告を受けたが、個人会員が対策ソフトを導入しているかどうかはわからない。A社としては最悪のシナリオを想定し、ベストな対応を取るべく準備を開始した。

メールを配信し始めると、問い合わせの電話やメールが次々に入りだす。個人をクライアントの主軸としているA社では、夜の時間も休む暇がない。個人がメールを読む時間帯は、比較的夜に集中するため、対策を開始してからの3日間はスタッフを総動員してでも万全の苦情対応に備えなければならない。回線不足やスタッフの訓練不徹底で対応に不備が起きれば、不祥事に加えて、さらなる企業の信用毀損につながりかねない。

経営者は、自社で実行不可能と判断すれば、ときとして社外機関を利用してでも被害者側の救済や対応に尽力すべきである。特に、早期の対応が求められる事例では、経営判断のスピードが成功の鍵となる。当然ながら開示される内容の正確性や対策の実効性が重要な点は言うまでもない。A社取締役会は、メール配信を始めた直後から発生した諸問題に呼応するため、一度は決定した社内危機管理態勢を数時間後には修正し、これまでにない大規模な危機管理対応を実施することを決定、直ちに、社外専門家を含めた新組織へのシフトを行った。

本件の対応にかかった概ねの損失、危機管理対策費用は以下のとおりとなった。

（注）上記項目、費用には、申込者がウィルス対策ソフトの未導入で、誤ってウィルスに感染した場合のA社に対する情報流出に関する損害賠償等については含まれていない

NPO日本ネットワークセキュリティ協会（2011年情報セキュリティインシデントに関する調査報告書—個人情報漏えい編—）によれば、件数では第2位、漏えい人数では第1位の「管理ミス」は10～100人未満と100～1000人未満の情報漏えいインシデントが多くなっている。また、件数で第1位であった「誤操作」は、10人未満の情報漏えいインシデントが4分の3以上を占めており、少ない人数の漏えいインシデントが目立った。「不正アクセス」は、1000人以上～1万人未満と1万人以上～10万人未満の規模のインシデントが多く、「管理ミス」や「誤操作」に比べて、一件あたりの漏えい人数において他の原因を圧倒的に凌駕している。

白井邦芳「CSR視点で広報を考える」バックナンバー

もっと読む