デジタルリスクの管理が厳格化。
対応が迫られる中、企業が考えておくべきことは？

2015年08月19日

2015年1月のサイバーセキュリティ基本法施行を受け、金融庁がサイバーセキュリティ対策を中心にガイドラインを改正、さらにそれを受けて証券取引等監視委員会が同様に検査マニュアルを改正しました。

そのため金融機関は現時点で目立った脅威がなくても何かしらの対応を求められることになります。また、他業界でもこれに続き管理の厳格化が求められる可能性があります。以下ではそのような「お達し」に備えて、デジタルリスクに対する基本の考え方について触れたいと思います。

デジタルリスク、炎上までのプロセス

ネット炎上などのデジタルリスクは、発生から拡大・拡散にいたる流れは、ほとんどの場合で共通しています。発生主や背景は様々ですが、火種が生まれ、そこから本格的な「炎上」へと拡大化していく流れは、ほぼ同じような流れをたどっています。この発生～拡大の流れの理解が、デジタルリスク・マネジメントを考える上で非常に重要となります。

火種の発生から拡大・炎上までのプロセスは大きく次の４つを辿ります。

① 火種の投稿
② 火種の発見と拡散
③ 爆発的な拡散
④ 炎上

よくある例をあげてみます。社員が顧客情報を不正に閲覧・持出したことが分かることを Twitter などのSNS に不用意に書き込んでしまいます（①）。すると炎上ネタを探している人がそれを発見し周囲に拡散します（②）。それがさらに多数の人によってニュースサイトなどに転載されることで爆発的に拡散し、最近ではテレビのニュースで取り上げられることもあります（③）。その後は抗議電話やクレーム問合せなどが殺到、ネット上では不都合な情報が風化せず、長期的に損害が発生してしまうのです。

では実際にこのような炎上トラブルに巻き込まれた場合、どうすればよいのか。
最も重要なのは、「24時間以内の対応」です。これを過ぎるとコントロールすることは極めて難しくなります。そのためにポイントとなるのがここで言う ① と ② の間の期間です。当然ですがまずは社員が火種となるような投稿をしないように予防をしておくこと、火種の投稿がネット上にないか監視しておくこと、有事に備えて社内の体制・ルールを備えておくことが自社の損害を最小限に止めることになります。

炎上した時の対応は誰がやる？

それでは実際にトラブルが発生してしまった場合の具体的な対策を考えてみましょう。
情報漏えい、従業員による悪質な書き込みなど企業の評判や価値を下げるようなネット上のトラブルが起こった際、よく思い浮かべられるのが広報担当です。確かに、社員による不祥事の際は記者会見や謝罪文の掲載等広報担当者の仕事は多分にあります。

ですが、実際にはもっと多くの関係者が同時に対応することが必要です。ここではトラブルが起こった際に求められることの多いアクションを並べてみます。

● 情報集約のためのプロジェクトの組成
● 問題特定、事実関係の確認
● 謝罪文の作成
● 関係省庁への報告
● 顧客フォローの体制構築
● メディア対応
● 謝罪文の掲載
● 社内の処分
● 損害賠償への対応
● 裁判への準備
● 株主への説明

例えば、情報漏洩が発生した場合は、まず漏洩原因及び流出範囲の特定が必要になります。これに対して迅速な対応が求められるのはシステム担当者です。同時にお客様や取引先、メディア等からの問合せに対応する体制を構築、場合によっては関係省庁への報告も必要です。これに対しては経営企画室の速やかな対応が求められます。当然営業担当による素早い顧客フォロー、その他様々な部署が実際には関係してくるのです。

予防・監視・対応までの一気通貫した対応を

デジタルリスクは常にどこにでも潜んでいます。また、昨今のそれは高度化・複雑化していて、セキュリティツールを導入しただけでは損害を防ぎきれません。予防・監視・対応までの対策・ルールを策定し、社員一人ひとりに当事者意識を持たせることを含めて様々な関係者を巻き込んでいくことが必要です。

エルテスではWebリスクを起こさせない仕組、起こったとしても即時に把握し対処する仕組、炎上やリスクが顕在化したときの対応サポート、その後のレピュテーションコントロールを一気通貫に行うことが可能です。お気軽にお問い合わせください。

● 03-6721-5790
● Webフォーム