ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「5.通知・報告・公表等におけるポイント」について紹介します。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
【管理部用】情報セキュリティ事故管理マニュアル
5.通知・報告・公表等におけるポイント
5.1 情報漏えいに関する公表の考え方
透明性・開示の原則から、発生した情報漏えいについてなるべく早く公表を行うことを考える。
個人情報が漏えいした場合は、本人にその事実を知らせお詫びするとともに、詐欺や迷惑行為等の被害にあわないよう注意喚起する。
また個人情報漏えい以外の場合でも最初に関係者への通知を考える。
個人情報漏えいの被害者や関係者に通知し意向を確認した上で、一般に公表が必要と判断される場合は、ホームページでの掲載、記者発表等を行う。
公表にあたっては、まず報道機関との窓口を一本化し対外的な情報に不整合が生じないようにする。
ホームページ公開について
- ホームページのトップページまたはトップページからリンクする形で、下に示す公表用資料の内容を掲載する。
記者発表について
- 記者発表を行う場合は報道機関等にFAXで情報を送付する。
- 取材については電話ではなく、なるべく対面での対応とし、2~3件以上の取材申し込みが来た段階で記者会見の開催を検討する。
- 取材、記者会見の対応においては記者の背後には多数の読者、視聴者がいることを意識する。
- 公表用資料の他に事実関係を説明する資料を準備し正確な情報が伝わるよう配慮する。
- 記者会見に臨むにあたっては想定問答集を作成する等して、事前練習を行う。
- 回答できない質問については、その場で無理に回答しようとせずに、確認の上追って回答するようにする。
参考:公表用資料に含むべき項目の例
- 序文(発生した情報漏えいに関するお詫び、会社としての姿勢等)
- 事故発生に関する状況報告
- 事実経緯
- 調査方法及び状況
- 漏えいした情報の内容
- 事故の被害内容(二次被害の影響含む)
- 事故原因
- 当面の対応策
- 再発防止策
- 問い合わせ窓口(事故に関する連絡先)
5.2 警察への届出
紛失の場合は遺失届を、盗難の場合は盗難の被害届を、下記のような可能性のある場合は、警察へ被害届を行うことを検討する。
- 従業員の内部犯行によって情報が漏えいしてしまった場合(背任、不正競争防止法違反等被疑事件)
- 外部からの侵入等によって情報が漏えいしてしまった場合(不正アクセス禁止法違反被疑事件)
- 漏えい情報に関して不正な金銭等の要求を受けた場合(恐喝・脅迫・強要等被疑事件)
5.3 監督官庁への報告
個人情報が漏えいしてしまった場合は、業種別の監督官庁に対して報告を行わなければならない。
報告要領、報告すべき項目については各監督官庁により定められていますので、「6.参考情報 「個人情報の保護に関するガイドラインについて(消費者庁)」を参考にする。
以下に報告に含むべき代表的な項目を示す。
参考:監督官庁への報告に含むべき項目の例
- 事業者名
- 発覚日
- 事故原因
- 漏えいした情報の内容
- 事故の被害内容(二次被害の影響含む)
- 警察届出有無
- 個人への連絡
- 再発防止策
5.4 JPCERTコーディネーションセンターによる支援の利用
不正アクセス等による情報漏えい等において、漏えい先あるいは攻撃元となっている組織との調整に関してはJPCERTコーディネーションセンターの支援を受けることができる。
JPCERTコーディネーションセンターでは中立的な立場から情報セキュリティインシデントに関する報告の受付、対応の支援活動を行っている。
(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)
まとめ
ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「5.通知・報告・公表等におけるポイント」について、以下の内容を説明しました。
- 情報漏えいに関する公表の考え方
- 警察への届出
- 監督官庁への報告
- JPCERTコーディネーションセンターによる支援の利用
