東京商工会議所の情報漏えい事件に見る、初動対応のまずさ

日本年金機構の個人情報流出問題が起こった矢先に、再び同じような事件が起きた。今度は東京商工会議所。日本年金機構の125万件の個人情報流出に比べれば、東京商工会議所は1万2000人程度と規模は小さいものの、企業の情報セキュリティの模範となるべき団体からこうも立て続けに個人情報が流出したのでは話にならない。

詳細な情報が出ていないが、まずは初動対応のまずさについて指摘していこう。

トップページでの取り扱いが小さすぎる

個人に悪影響を及ぼす重大な不祥事ほど大きく公表して社会的に認知されなければならないところだが、東京商工会議所のホームページを見るとその取り扱いが小さくて発見しにくい。

tosyo

もっと大きく掲示することは可能だろう。例えばこんな感じ。

イメージ

トップのバナーをすべて外して、個人情報漏えいの発生と謝罪に絞るのが妥当だと思う。いくら「注目情報」に入っているとはいえ、他のバナーに比べて明らかに目立たないレイアウトである以上、あまり多くの人に知られたくないのだろうと邪推せざるを得ない。社会的に注意喚起すべき問題なのだから、トップページ上で最も目立つようにすべきである。

公表した情報が少なすぎる

ホームページ上での公式発表が、事件発生(5/22)してから2週間もたってようやく掲載された。しかもその内容は実にあっさりしている。

スクリーンショット 2015-06-11 16.37.47

公式発表の内容は、マスコミが発表した情報より少ない。これはどういうことなのか。少なくとも「何が原因で発生したのか」、個人情報流出事件の影響範囲(規模)として「何万人分の個人情報が流出したおそれがあるのか」、「再発防止策として何をしようとしているのか」などを示すべきだが、それらが一切記載されていない。

当所事務局員が使用しているパソコンが、標的型メールによるウィルスに感染していたことが5月22日に判明し、国際部で管理しておりました個人情報(氏名に加え住所/電話番号/メールアドレス/会社名の一部または全部)が漏えいした可能性があることを確認しました。
個人情報をご提供いただいた皆様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
当所では、対象となる方を特定し、すでに直接ご連絡申し上げました。
今回の事態を厳粛に受け止め、現在、関係当局および捜査機関に協力を頂きながら、二次被害の防止を図るとともに、再発防止に向けて個人情報の取扱いに万全を期し、セキュリティ対策を強化するよう努めております。
今後、ご関係の皆様にお知らせすべき新たな情報が判明しましたら、随時ホームページ等にてお知らせいたしますが、まずはお詫び申し上げますとともに、ここにご報告申し上げます。

「対象となる方を特定し、連絡」とあるが、「対象となる方」だけでなく、少なくとも東京商工会議所の会員全員にメールで連絡すべきだろう。

初動対応の遅さもさることながら、対応レベルの低さ、事の重大性の認識の低さなど、指摘すべき問題が多い。日本に多大な影響を及ぼす組織として、コンティンジェンシープランをもっと精緻化し、誠意のある対応をしてもらいたい。

スポンサーリンク
スポンサーリンク
スポンサーリンク
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です