Picks
38フォロー
300フォロワー
情報漏洩を半年後に公表 「スイパラ」に批判の声 どこで対応を誤ったのか
ITmedia ビジネスオンライン
高野 聖玄脅威分析研究所 代表
インシデント発生時において、BtoBとBtoCで対外発表の仕方は変わってきますが、ECのような個人情報を扱う事業者の場合は、基本的に調査結果が出た段階で漏洩が明らかであれば、個別対応か公表を通じて二次被害の防止に努める必要があります。このケースでは、調査完了から警察への被害届、個人情報保護委員会への報告の間も空いてますので、ガバナンスやコミュニケーションの問題とも見えます。 私自身がインシデント対応に当たる場合は、調査結果が出たらすぐにでも当局へのコミュニケーションを取ることを進めています。どこまで伝えるかはケースバイケースですが、そういったコミュニケーションを迅速に取っていることが、その先に発生する説明時において、企業側の信用を落とさないためのひとつのエビデンスになるからです。 なお、ここ最近は更にインシデントが頻発してますので、インシデント対応や事故調査(デジタルフォレンジック)を行う業者のリソースが逼迫しています。すぐに原因究明したいと思っても、結果がでるまで2〜3ヶ月を要するということも少なくありませんので、第三者調査の結果が出るまでに時間が掛かることは仕方がない面もあると思います。
28Picks
NORMAL