サプライチェーン攻撃発生時の危機管理
サプライチェーン攻撃が発生した場合、技術的な復旧作業と並行して、危機管理対応が必要になります。危機管理とは、インシデントによる被害を最小限に抑え、事業継続と信頼回復を図るための経営活動です。
- 技術対応と危機管理対応の並行
- インシデント発生時には、システム復旧などの技術対応と、ステークホルダー対応などの危機管理対応を同時並行で進める必要があります。技術チームと危機管理チームが連携し、情報を共有しながら対応を進めます。
- 経営者の役割
- 危機管理においては、経営者の役割が極めて重要です。公表の判断、対外的な説明、社内への指示など、最終的な意思決定は経営者が行います。経営者不在では、重要な判断が遅れ、被害が拡大するリスクがあります。
- 時間との勝負
- インシデント対応は時間との勝負です。特にランサムウェア被害や情報漏洩では、初動の遅れが被害の拡大につながります。また、SNSなどで情報が拡散する現代では、自社からの発信が遅れると、誤った情報が広まるリスクもあります。
技術的なインシデント対応については、サプライチェーン攻撃のインシデント対応|発生時の初動から復旧までで詳しく解説しています。
公表判断の基準
インシデントが発生した場合、「いつ」「何を」公表するかは、最も重要かつ難しい判断の一つです。
法的な公表義務
まず、法令で定められた公表・報告義務を確認します。
- 個人情報保護法での報告義務
- 2022年4月施行の改正個人情報保護法により、一定の条件を満たす個人情報漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。速報(発覚から3〜5日以内)と確報(30日以内、不正アクセスの場合は60日以内)の2段階で報告します。
- 上場企業の適時開示義務
- 上場企業は、投資判断に重要な影響を与える事象について、適時開示が求められます。サイバーインシデントによる事業への重大な影響が見込まれる場合、東京証券取引所への報告と開示が必要になる場合があります。
- 業法上の報告義務
- 金融業、医療業など、業法で監督官庁への報告が義務付けられている業種もあります。自社に適用される規制を事前に確認しておくことが重要です。
公表のタイミング
- 早すぎる公表のリスク
- 事実関係が確認できていない段階で公表すると、後から訂正が必要になり、混乱を招く可能性があります。また、攻撃者に情報を与えてしまうリスクもあります。
- 遅すぎる公表のリスク
- 一方、公表が遅れると、「隠蔽していた」と批判されるリスクがあります。また、SNSやメディアで先に報道された場合、自社のコントロールが効かなくなります。被害を受けた顧客への通知が遅れることで、二次被害が拡大する可能性もあります。
- 段階的な情報開示
- 一般的には、「第一報(発生の事実と初期対応)」→「続報(調査の進捗)」→「最終報告(原因、再発防止策)」という段階的な開示が推奨されます。最初からすべてを明らかにする必要はありませんが、重要な事実は速やかに開示します。
公表内容の判断
| 公表すべき情報 | 控えるべき情報 |
|---|---|
| 発生日時、発覚経緯 | 攻撃の詳細な技術的手法 |
| 影響範囲(件数、対象者) | 悪用されうる脆弱性情報 |
| 顧客が取るべき対応 | 攻撃者との交渉内容 |
| 問い合わせ先 | 捜査に支障をきたす情報 |
| 再発防止の方針 | 未確定の情報(推測) |
ステークホルダーへの説明
インシデント発生時には、さまざまなステークホルダーに対して適切な説明を行う必要があります。
顧客への説明
- 顧客への通知方法
- 影響を受けた顧客に対して、メール、郵送、Webサイト掲載などで通知します。個人情報漏洩の場合は、本人への通知が法的にも義務付けられています。通知が大量になる場合は、コールセンターの体制強化も必要です。
- 説明すべき内容
- 何が起きたか、顧客にどのような影響があるか、顧客が取るべき対応(パスワード変更など)、会社としての対応、今後の見通しなどを説明します。謝罪とともに、具体的な対応を示すことが重要です。
- 問い合わせ対応体制
- 顧客からの問い合わせに対応するため、専用窓口(コールセンター、メール)を設置します。想定されるQ&Aを作成し、オペレーターが適切に対応できるようにします。
株主・投資家への説明
- 適時開示・IR対応
- 上場企業の場合、適時開示の要否を判断し、必要に応じて開示します。アナリスト・機関投資家からの問い合わせにも対応できるよう、IR担当者と連携します。
- 株主総会での説明
- 株主総会で質問を受ける可能性があります。経営者としてどのように対応したか、再発防止策は何かなど、株主に説明できるよう準備します。
取引先への説明
- 取引先への通知
- サプライチェーン攻撃の場合、取引先にも影響が及ぶ可能性があります。影響を受ける可能性のある取引先には、速やかに連絡し、必要な対応を依頼します。
- サプライチェーン全体への影響説明
- 自社が「被害者」の場合でも、取引先に波及する可能性があります。逆に、取引先から「あなたの会社のシステムを経由して攻撃を受けた」と言われる可能性もあります。サプライチェーン全体での影響を把握し、関係者に説明します。
監督官庁への報告
- 報告先
- 個人情報漏洩の場合は個人情報保護委員会、サイバー犯罪の被害届は警察、業法上の報告義務がある場合は所管官庁(金融庁、厚生労働省など)に報告します。また、IPA(情報処理推進機構)やJPCERT/CCへの情報提供も推奨されます。
マスコミ対応
インシデントがメディアで報道される可能性がある場合、マスコミ対応も重要な要素です。
プレスリリースの作成
- プレスリリースの構成
- タイトル、発生事象の概要、影響範囲、原因(判明している場合)、対応状況、再発防止策、問い合わせ先などを盛り込みます。事実に基づき、簡潔かつ明確に記載します。
- 伝えるべきメッセージ
- 「何が起きたか」だけでなく、「会社としてどう対応しているか」「再発防止に向けて何をするか」というメッセージを伝えます。責任を認めつつ、前向きな姿勢を示すことが重要です。
記者会見の対応
- 記者会見の判断基準
- すべてのインシデントで記者会見が必要なわけではありません。影響の大きさ、社会的関心の高さ、法的義務などを考慮して判断します。大規模な個人情報漏洩や、社会インフラへの影響がある場合は、記者会見を検討します。
- 会見での対応ポイント
- 誠実に、事実に基づいて説明します。わからないことは「現在調査中」と正直に答え、後日回答することを約束します。言い訳や責任転嫁と受け取られる発言は避けます。
- スポークスパーソンの選定
- 記者会見では、適切な立場の人物がスポークスパーソンを務めます。重大なインシデントでは、社長や役員クラスが登壇することが求められる場合があります。
SNS・ネット対応
- SNSでの情報拡散への対応
- 現代では、SNSで情報が急速に拡散します。自社のSNSアカウントでの情報発信、問い合わせへの対応を検討します。ただし、SNSでの炎上を招かないよう、慎重な対応が必要です。
- 誤情報への対応
- SNSやネット上で誤った情報が拡散している場合、公式な情報を発信して訂正します。ただし、すべての誤情報に反応する必要はなく、重大な誤解を招くものに限定して対応します。
社内コミュニケーション
外部対応だけでなく、社内コミュニケーションも重要です。
- 従業員への説明
- 従業員に対して、何が起きているか、会社としてどう対応しているか、従業員が注意すべきことなどを説明します。従業員が不安を抱えたまま業務を続けることは、士気低下やミスにつながります。
- 情報統制
- インシデント対応中は、情報の一元管理が重要です。従業員がSNSや知人に情報を漏らすと、混乱を招きます。「情報は広報を通じて発信する」「個人でのSNS投稿は控える」などのルールを徹底します。
事前準備(危機管理計画)
危機管理は、インシデントが発生してから始めるのでは遅すぎます。平時からの準備が重要です。
- 想定シナリオの策定
- 「ランサムウェアで事業停止」「個人情報が大量漏洩」「取引先経由で攻撃を受けた」など、起こりうるシナリオを想定し、それぞれへの対応方針を検討しておきます。
- 対応マニュアルの整備
- 危機発生時の対応手順をマニュアルとして文書化します。連絡先リスト、エスカレーションルール、役割分担、対外コミュニケーションの基本方針などを含めます。
- 危機管理訓練の実施
- マニュアルを作っただけでは不十分です。実際にシナリオに基づいた訓練(机上演習、模擬記者会見など)を実施し、対応力を高めます。
| 準備項目 | 内容 | 担当 |
|---|---|---|
| 危機管理計画の策定 | 対応方針、役割分担の文書化 | リスク管理部門 |
| 連絡先リストの整備 | 関係者、専門家、監督官庁の連絡先 | 総務・広報 |
| Q&Aの作成 | 想定される質問と回答 | 広報・法務 |
| 訓練の実施 | 机上演習、模擬会見 | 全関係部門 |
過去の対応事例から学ぶ
過去のインシデント対応事例から、学ぶべきポイントを整理します。
- 良い対応の特徴
- 迅速な初動対応、透明性のある情報開示、顧客視点での対応、経営者による説明責任の遂行、具体的な再発防止策の提示などが、評価される対応の特徴です。
- 批判を受けた対応の特徴
- 公表の遅れ、情報の隠蔽と受け取られる対応、責任転嫁、曖昧な説明、再発防止策の不明確さなどは、批判を招きやすい対応です。
サイバーインシデントへの対応は、技術的な復旧だけでなく、ステークホルダーとの適切なコミュニケーションが成功の鍵を握ります。
— 出典:JPCERT/CC「インシデントハンドリングマニュアル」
よくある質問
- Q: 公表は必ずしなければなりませんか?
- A: 法令で義務付けられている場合(個人情報保護法の報告義務、上場企業の適時開示義務など)は、公表が必要です。法的義務がない場合でも、顧客や取引先に影響がある場合は、信頼維持の観点から公表することが一般的です。ただし、すべてのインシデントを公表する必要はなく、影響の大きさに応じて判断します。
- Q: 記者会見は必要ですか?
- A: すべてのインシデントで記者会見が必要なわけではありません。影響が大きく、社会的関心が高い場合には検討します。記者会見を行わない場合でも、プレスリリースやWebサイトでの情報開示は必要です。
- Q: 社長が謝罪すべきですか?
- A: 影響の大きさと、経営責任の観点から判断します。大規模な個人情報漏洩や、社会インフラへの影響がある場合は、経営トップによる謝罪が期待されることが多いです。ただし、形式的な謝罪よりも、具体的な対応と再発防止策を示すことが重要です。
- Q: SNSでの批判にはどう対応すべきですか?
- A: すべての批判に個別対応する必要はありません。公式の情報発信を行い、事実に基づいた説明をすることが基本です。明らかな誤情報が拡散している場合は、公式に訂正します。感情的な反論や、批判者との論争は避けます。
まとめ
サプライチェーン攻撃発生時の危機管理について、ポイントを整理します。
- 危機管理は技術対応と並行して行う経営活動であり、経営者の関与が不可欠である
- 公表判断は法的義務を踏まえつつ、早すぎず遅すぎないタイミングで行う
- 顧客、株主、取引先、監督官庁など、各ステークホルダーに適切な説明を行う
- マスコミ対応は慎重に、誠実に行い、誤った情報の拡散を防ぐ
- 社内コミュニケーションも重要であり、従業員の不安払拭と情報統制を行う
- 平時から危機管理計画を策定し、訓練を行っておくことが重要である
次に、法的なリスクについて、サプライチェーン攻撃の法務ポイント|契約責任・監督義務・罰則で詳しく解説しています。
経営者向けの他のトピックは、サプライチェーン攻撃と経営|リスク・ガバナンス・投資判断からご覧いただけます。サプライチェーン攻撃の全体像は、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説で解説しています。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
