|
-特集:個人情報編 <第3回>- 1/4
|
情報管理に万全を期していたとしても、不幸にも流出事故は起こってしまうかもしれません。「事故は必ず起きるもの」という前提において情報セキュリティーに臨む必要があります。では、万一流出事故が起こってしまった場合どう対応したらよいでしょうか。
1)事実確認
個人情報の漏洩が起きた場合に、迅速かつ的確に行動しなければいけないことが、いっぺんに起こります。事故後の対応を的確に行うために、速やかに事実関係を把握しておく必要があります。把握しておくべき事実として以下のようなものが考えられます。
○流出した個人情報の内容
○流出した個人情報の件数
○流出の経緯
○個人情報の管理状態
○現時点での具体的な被害
ここでの事実誤認は、後の説明責任や透明性といった部分で、非常に問題になってきますので、なるべく正しい情報を把握してください。
2)本人への通知
本人への通知内容は、流出した情報の内容、事故の経緯、想定される2次被害と既に起きた被害、事故の防止対策、問い合わせ窓口などです。本人に迅速に通知することで、流出した個人情報を悪用した犯罪などから、顧客を守ることになります。
3)説明責任を果たす
情報の漏洩が起こってしまった場合に事業者として一番避けなければいけないのが事故事実の隠蔽です。顧客や取引先、または社会に対して情報漏洩の原因(事故か犯罪か)、再発防止や類似案件の発生回避策など、説明責任(アカウンタビリティ)を果たさなければなりません。
4)調査結果の公表
事件後は現時点での事故の調査結果を自社に都合が悪い場合でも公表し、透明性をアピールします。こうした誠意の積み重ねが、事故によって一度落ちてしまった評価を回復、または信頼度を上げることになります。
5)被害拡大の防止
流出事故発生後、一番重要なことはさらなる情報流出を防ぐことと、2次被害の防止策を講じることです。漏洩した情報は必ず犯罪者が狙っています。架空請求や詐欺などの2次被害が起こる可能性がある場合は注意を促すなど、自社ホームページ、書面などで適時公表していきます。
以上のようなことに考慮しながら、あらかじめ事故が起きた場合の手順を定め、誰が何をするのかなどのシミュレーションを行っておくといいでしょう。また、そうすることで社員全員のセキュリティー意識を高めることにもなります。
以上の点に注意して、事故への対応を行いましょう。事故後の対応で、企業としての評価は大きく変わってしまいます。 |
|
|
|
|
|
|
|
|