当社では、従業員のパソコンからウイルスに感染し、顧客のデータが一部流出してしまいました。
当社はどのように対応したら良いでしょうか。
(回答)
1 情報漏洩リスク
企業のリスクとして、ご質問のようなパソコンのウイルス感染による情報流出、従業員による情報漏洩、標的型サイバー攻撃による情報流出等のリスクは、被害の広範性、即時性、拡散性等から企業存続の致命傷にもなりかねない極めて大きなリスクといえます。
企業が一度でも情報漏洩をしてしまうと、被害者への謝罪費用、原因調査費用といったコスト面だけではなく、社会的信用やブランドイメージの低下など、そのダメージは計り知れません。
2 情報漏洩の典型的なパターン
誤操作、盗難や置き忘れ、ノートパソコンなどのモバイル機器やUSBなどの持ち運び、ソフトウェアのバグ、コンピュータウイルスの感染、不正アクセスによる攻撃、内部関係者による意図的な情報の流出が挙げられます。
NPO日本ネットワーク・セキュリティ協会「2013年 情報セキュリティインシデントに関する調査報告書」によると、同年に発生した1388件の個人情報漏洩事例の原因は、誤操作、紛失・置き忘れ、管理ミスなどのヒューマンエラーが約80%を占めています。
ご質問のケースもまさに貴社のパソコンのセキュリティーの不備と従業員の不用意なパソコンの使用が原因となっているので、ヒューマンエラーに該当します。
3 情報漏洩事実の公表
顧客情報が漏洩した事実を速やかに公表することは、当該情報がプライバシーなどに密接に関わる情報であり、漏洩による個人の人格的、財産的利益に対する被害や、なりすましによる商品の購入などの二次被害を最小限に抑えるために必要です。
4 個人情報流出の初動対応
貴社の個人情報流出に対する初動対応の流れは、次のとおりです。
①事故状況、内容の把握(流出データの特定、漏洩原因の調査)
②警察署、監督官庁への第一報
③二次被害の防止措置(クレジットカード会社等への連絡)
④被害者に対する通知、公表(マスコミ発表を行うかどうかの検討)
⑤被害者対応(Q&Aの作成、お詫び状の送付、コールセンターの設置、問い合わせとクレーム対応)
⑥監督官庁への報告(情報漏洩の原因、経緯、漏洩発覚後の対応、今後の再発防止等)
⑦再発防止策の策定と実施