企業がサイバー攻撃を受けた場合は速やかな情報公開が大切
最近ニュースでよく目にしますが、企業に対するサイバー攻撃が頻繁に起きていて、厳重な対策をしているはずの有名なIT企業を初めとして、様々な企業でサイバー攻撃による情報漏えいが起きています。実際、この記事で紹介されているように、情報漏えいの事実が公になっているのは氷山の一角で、すでにサイバー攻撃を受けて情報漏えいしているのにもかかわらず、気づいていないだけなのかもしれません。
日経コンピュータの5/30号の特集で「もうサイバー攻撃は防げない」という記事が載っていましたが、これだけサイバー攻撃が日常茶飯事で起きているという現状を踏まえると、これまでの「サイバー攻撃を防ぐ」という事前防止策よりも「攻撃を受けたときの被害をできるだけ抑える」という事後対策に比重を置く必要があると書いてありました。
その記事の中で紹介されていた事後対策の中で、特に企業の広報担当にとって大事だと思ったことは、「サイバー攻撃の被害範囲などが不明でも速やかに情報をステークホルダーに伝える」ということです。これまでの対策では、ユーザーの不安をあおってしまうので被害の全容がある程度分かるまで情報を開示しないという考えでしたが、「発表が遅れれば遅れるほど、かえって顧客の信用を失うリスクが高まる」という考えが、これまでの事例を通して定着しつつあるようです。
サイバー攻撃や情報漏えいがあった事実を把握した時点で、全容が分かっていなくても、分かる範囲での事実とサイバー攻撃による可能性などを公表し、調査の経過と共に状況を明らかにしていくことが顧客の信用を失うリスクを最小限に留めるために必要とのことでした。
そのためには、有事の時に、迅速に情報公開の意思決定を行う危機対応チームを編成し、普段から避難訓練のようにシミュレーションを行うことが求められています。
日経コンピュータの5/30号の特集で「もうサイバー攻撃は防げない」という記事が載っていましたが、これだけサイバー攻撃が日常茶飯事で起きているという現状を踏まえると、これまでの「サイバー攻撃を防ぐ」という事前防止策よりも「攻撃を受けたときの被害をできるだけ抑える」という事後対策に比重を置く必要があると書いてありました。
その記事の中で紹介されていた事後対策の中で、特に企業の広報担当にとって大事だと思ったことは、「サイバー攻撃の被害範囲などが不明でも速やかに情報をステークホルダーに伝える」ということです。これまでの対策では、ユーザーの不安をあおってしまうので被害の全容がある程度分かるまで情報を開示しないという考えでしたが、「発表が遅れれば遅れるほど、かえって顧客の信用を失うリスクが高まる」という考えが、これまでの事例を通して定着しつつあるようです。
サイバー攻撃や情報漏えいがあった事実を把握した時点で、全容が分かっていなくても、分かる範囲での事実とサイバー攻撃による可能性などを公表し、調査の経過と共に状況を明らかにしていくことが顧客の信用を失うリスクを最小限に留めるために必要とのことでした。
そのためには、有事の時に、迅速に情報公開の意思決定を行う危機対応チームを編成し、普段から避難訓練のようにシミュレーションを行うことが求められています。