マルウェア被害時のステークホルダーコミュニケーション｜危機管理広報の実践ガイド

サイバーインシデントにおけるコミュニケーションの重要性

なぜコミュニケーションが被害を左右するのか

マルウェア被害が発生した際、技術的な対応だけに注力していては不十分です。ステークホルダーへの適切なコミュニケーションは、被害の拡大を防ぎ、組織の信頼を守るために不可欠な要素となっています。セキュリティ対策の一環として、危機管理広報を事前に計画しておくことが重要です。

コミュニケーション対応が企業の命運を分けた事例は数多く存在します。迅速で誠実な情報開示を行った企業は、一時的な風評被害を受けても比較的早期に信頼を回復しています。一方、情報を隠蔽しようとしたり、対応が遅れたりした企業は、長期にわたる顧客離れや株価低迷に苦しむことになりました。

対応パターン	コミュニケーションの特徴	結果
成功事例A社	発覚24時間以内に第一報、定期的なアップデート、経営トップが会見	株価は一時下落も3か月で回復、顧客離反率5%以下
成功事例B社	専門チームによる迅速な顧客通知、具体的な補償提示	メディア報道も好意的、ブランド価値維持
失敗事例C社	発覚から公表まで2週間、情報の後出し	集団訴訟、経営陣辞任、株価50%下落
失敗事例D社	責任回避の姿勢、曖昧な説明	SNSで炎上、主要顧客との取引停止

サイバー攻撃による被害は、技術的な損害だけでなく、風評被害という形で長期的な経営インパクトをもたらします。適切なコミュニケーションによって風評被害を最小化することは、マルウェア感染対策の重要な要素です。

また、法的リスクの観点からも、適切な情報開示は重要です。個人情報保護法の2022年改正により、一定の条件を満たす情報漏洩については、個人情報保護委員会への報告と本人への通知が義務化されました。この義務を怠ると、法的制裁の対象となる可能性があります。

ステークホルダーの特定

マルウェア被害が発生した際にコミュニケーションが必要なステークホルダーは多岐にわたります。まず、影響を受ける可能性のある全てのステークホルダーを洗い出し、それぞれの関心事項と優先順位を整理することが重要です。

社内ステークホルダー

従業員は最も身近なステークホルダーです。業務への影響、個人情報の漏洩有無、今後の対応について不安を抱えています。経営層・取締役会は、事業への影響、法的責任、株主への説明責任について関心を持っています。早期かつ正確な情報共有が、組織内の混乱を防ぎます。

顧客

顧客は自身のデータや取引への影響を最も気にしています。個人情報が漏洩したのか、どのような対策が取られているのか、今後同様の被害を防げるのかについて、具体的な説明を求めます。B2B顧客の場合、自社のセキュリティ体制への影響も確認したいと考えます。

取引先・パートナー

サプライチェーンを通じた影響拡大の可能性があるため、取引先は自社への影響を確認する必要があります。サプライチェーン攻撃が増加する中、取引先との迅速な情報共有は極めて重要です。

株主・投資家

上場企業の場合、株主・投資家は業績への影響、経営責任、再発防止策への投資について関心を持っています。適時開示の観点からも、適切なタイミングでの情報開示が求められます。

規制当局

個人情報保護委員会、金融庁（金融機関の場合）、証券取引所（上場企業の場合）など、業種や被害内容によって報告すべき当局が異なります。法令で定められた期限内に、所定の形式で報告する必要があります。

メディア

報道機関は事件の全容、被害規模、企業の対応姿勢について情報を求めます。適切な対応により、公正な報道につなげることが可能です。

コミュニケーション計画の策定

事前準備の重要性

サイバー攻撃が発生してから慌てて対応を考えるのでは遅すぎます。平時からコミュニケーション計画を策定し、関係者間で合意しておくことが、有事における迅速な対応を可能にします。

事前準備として、まずコミュニケーション方針を策定します。これは、インシデント発生時にどのような姿勢で情報開示を行うかの基本原則です。透明性を重視するのか、法的リスクを最小化するのか、組織としての価値観を反映した方針を定めます。

準備項目	内容	担当	更新頻度
コミュニケーション方針	情報開示の基本原則、透明性と法的リスクのバランス	経営層、法務	年1回
ステークホルダーリスト	連絡先、優先順位、担当者	広報、営業	四半期
スポークスパーソン指定	メディア対応者、社内説明者の任命	経営層	年1回
想定Q&A	ステークホルダー別の想定質問と回答	広報、IT、法務	半年
テンプレート	プレスリリース、顧客通知文、社内通知の雛形	広報	年1回
連絡体制図	エスカレーションフロー、承認権限	CSIRT	四半期

インシデント対応チーム構築の際には、コミュニケーション担当も明確に位置付けることが重要です。技術対応に追われる中で、コミュニケーション対応が後回しにならないよう、専任または兼任の担当者を決めておきます。

スポークスパーソンの選定も重要な事前準備です。メディア対応を行う人物は、組織を代表するに足る権限を持ち、かつ冷静にコミュニケーションできる能力が求められます。CEOやCISOが担当することが多いですが、事前にメディアトレーニングを受けておくことを推奨します。

メッセージ設計の原則

インシデント発生時のメッセージは、以下の原則に基づいて設計する必要があります。これらの原則に従うことで、ステークホルダーからの信頼を維持しながら、必要な情報を伝えることができます。

事実に基づく正確な情報

推測や憶測を含めず、確認できた事実のみを伝えます。調査中で不明な点は「調査中」と明示し、判明次第アップデートすることを約束します。不正確な情報を発信すると、後に訂正が必要となり、信頼性を損ないます。

透明性と誠実さ

隠蔽の印象を与えないことが極めて重要です。知っていることは可能な限り開示し、開示できない理由がある場合はその理由を説明します。「お答えできません」ではなく「調査中のため現時点ではお答えできませんが、判明次第お知らせします」と伝えます。

責任の明確化

組織として責任を認め、謝罪すべき点は明確に謝罪します。ただし、法的責任の認否については、弁護士と相談の上で慎重に対応します。責任逃れの姿勢は、ステークホルダーの反感を買い、状況を悪化させます。

対策と今後の方針

現在実施している対策、被害拡大防止策、再発防止に向けた取り組みを具体的に説明します。ステークホルダーは「今後どうなるのか」「同じことが起きないのか」を知りたいと考えています。

メッセージの構成要素としては、何が起きたか（What）、いつ発覚したか（When）、影響範囲はどこまでか（Where/Who）、なぜ起きたか（Why、判明している場合）、どう対応しているか（How）を網羅することが基本です。

タイミングの判断

情報開示のタイミングは、コミュニケーション戦略において最も難しい判断の一つです。早すぎれば不確実な情報で混乱を招き、遅すぎれば隠蔽を疑われます。

速報と詳報のバランスを取ることが重要です。重大なインシデントの場合、全容が判明する前でも、第一報として事実の概要を発信することを検討します。「詳細は調査中」としつつ、発覚した事実と現在の対応状況を伝えます。その後、調査の進捗に応じてアップデートを発信します。

重大な被害の可能性がある場合は、全容判明を待たずに速報として公表することを推奨します。「調査中」という状態を含めた透明な情報開示が、後からの隠蔽批判を防ぎます。

— 参考：日本広報学会 危機管理広報ガイドライン

アップデートの頻度については、初期段階では24時間ごと、状況が安定してきたら週次など、インシデントの重大性と進捗に応じて調整します。「次回のアップデートはいつか」を明示することで、ステークホルダーの不安を軽減できます。

社内コミュニケーション

従業員への通知

マルウェア被害発生時、最初に情報を伝えるべきステークホルダーの一つが従業員です。外部への公表前に従業員に情報を共有することで、噂の拡散を防ぎ、組織としての一体感を維持できます。

従業員への通知で伝えるべき情報は以下の通りです。

1. 何が起きたか（インシデントの概要）
2. 従業員の業務への影響
3. 従業員個人の情報への影響
4. 従業員が取るべき行動（パスワード変更、不審メール報告など）
5. 問い合わせ先
6. 外部からの問い合わせへの対応方法

通知要素	記載内容例
件名	【重要】セキュリティインシデント発生のお知らせと対応のお願い
冒頭	本日○時頃、当社システムにおいてマルウェア感染が確認されました
業務影響	○○システムが現在停止中です。復旧見込みは○月○日です
個人情報	現時点で従業員の個人情報漏洩は確認されていません（調査継続中）
行動指示	全員のパスワードリセットをお願いします。手順は○○を参照
問い合わせ	ご質問は○○までお願いします（電話、メール）
外部対応	外部からの問い合わせは広報部へ転送してください。個人での回答は控えてください

特に重要なのは、外部からの問い合わせへの対応方法を明確にすることです。従業員が個別にメディアや取引先に回答すると、情報の不統一や誤った情報の拡散につながります。「全ての外部問い合わせは広報部に転送」というルールを徹底します。

経営層・取締役会への報告

経営層への報告は、意思決定を支援するための情報を迅速かつ正確に伝えることが目的です。技術的な詳細よりも、経営判断に必要な情報を優先します。

報告すべき情報には以下が含まれます。

• 被害の概要と現在の状況
• 事業への影響（売上、顧客、レピュテーション）
• 対応状況と今後の計画
• 意思決定が必要な事項（公表判断、予算承認など）
• 想定されるリスクと対応オプション

経営層向けサイバーリスクの観点から、法的責任や財務インパクトについても言及が必要です。

取締役会への報告については、臨時取締役会の開催も含めて検討します。特に上場企業の場合、適時開示義務との関係で、取締役会での決議が必要になることがあります。

社内の混乱防止

インシデント発生時、社内には不安や噂が広がりやすくなります。これを防ぐための施策を講じることが重要です。

噂の拡散防止

公式情報を速やかに、繰り返し発信することで、非公式情報の拡散を抑制します。「分からないことは聞いてください」というメッセージを発信し、噂ではなく公式チャネルでの情報取得を促します。

問い合わせ窓口の設置

従業員からの質問を受け付ける専用窓口（電話、メール、チャット）を設置します。回答を一元化することで、情報の統一性を保ちます。

FAQの整備

よくある質問と回答を整理し、イントラネットなどで公開します。これにより、問い合わせ対応の効率化と情報の統一を図ります。

顧客・取引先への通知

通知の法的義務

マルウェア被害により個人情報が漏洩した場合、法的な通知義務が発生する可能性があります。2022年4月施行の改正個人情報保護法により、一定の条件を満たす漏洩等については、個人情報保護委員会への報告と本人への通知が義務化されました。

報告・通知が必要なケース	期限	対応
要配慮個人情報の漏洩	速報3-5日、確報30日	個人情報保護委員会への報告、本人通知
財産的被害のおそれがある漏洩	速報3-5日、確報30日	個人情報保護委員会への報告、本人通知
不正目的による漏洩	速報3-5日、確報30日	個人情報保護委員会への報告、本人通知
1,000人超の漏洩	速報3-5日、確報30日	個人情報保護委員会への報告、本人通知

これに加えて、契約上の通知義務がある場合もあります。取引先との契約にセキュリティインシデント発生時の通知条項が含まれている場合は、その条件に従って通知を行う必要があります。

業界固有の規制も確認が必要です。金融機関であれば金融庁への報告、医療機関であれば厚生労働省への報告など、業種によって追加的な報告義務があります。

通知内容と方法

顧客への通知では、何が起きたか、どのような影響があるか、顧客が取るべき行動は何かを明確に伝えます。

通知内容の構成

1. お詫び：まず冒頭で謝罪の意を表明します
2. 事実経過：いつ、何が起きたかを時系列で説明します
3. 影響範囲：どのようなデータが、どの程度の規模で影響を受けたかを説明します
4. 原因：判明している場合は原因を説明します（調査中の場合はその旨を記載）
5. 対応状況：現在実施している対策を説明します
6. 顧客への依頼事項：パスワード変更など、顧客に取っていただきたい行動を具体的に説明します
7. 再発防止策：今後の対策について説明します
8. 問い合わせ先：専用の問い合わせ窓口を案内します

通知手段の選択

影響を受けた顧客全員に確実に届く方法を選択します。メール、郵送、Webサイト掲載、アプリ内通知など、複数の手段を組み合わせることも検討します。特に個人情報漏洩の場合、本人に確実に届く方法（登録メールアドレス、住所への郵送）が必要です。

通知のタイミングについては、全容判明を待つか、速報として出すかの判断が必要です。影響を受けた顧客が何らかの対策（パスワード変更、不正利用監視など）を取る必要がある場合は、早期の通知が重要です。

信頼回復のアクション

通知だけでなく、具体的な信頼回復アクションを講じることで、顧客との関係維持を図ります。

補償の検討については、被害の内容に応じて、クレジットカードの不正利用補償、信用監視サービスの無料提供、サービス利用料の免除などを検討します。補償内容は、被害の程度と顧客の期待値を踏まえて決定します。

再発防止策の説明では、具体的な技術対策、組織体制の強化、従業員教育の強化など、実施する再発防止策を分かりやすく説明します。「同じことは二度と起きません」とは言えませんが、「リスクを大幅に低減するための取り組みを行っています」と伝えることで、顧客の不安を軽減します。

継続的なフォローとして、事態が収束した後も、一定期間は状況のアップデートを提供します。最終報告書を公開することで、事案の全体像と教訓を共有することも検討します。

メディア対応

記者会見の判断

全てのインシデントで記者会見を開く必要はありません。記者会見を開くべきかどうかは、インシデントの重大性、社会的影響、メディアの関心度を踏まえて判断します。

記者会見を開くべきケースとしては、大規模な個人情報漏洩（数万件以上）、社会インフラへの影響、重大な金銭的被害の発生、既に報道が先行している場合などが挙げられます。

一方、記者会見を開かないケースでは、影響が限定的、迅速に対応が完了、メディアの関心が低い場合などがあります。この場合はプレスリリースの発行とメディアからの個別問い合わせ対応で十分なこともあります。

記者会見を開く場合の準備事項は多岐にわたります。

会見者の選定

組織を代表する権限を持つ人物（CEO、社長）が会見者となることが一般的です。技術的な質問に備えて、CISO等の同席も検討します。会見者は事前にメディアトレーニングを受け、想定問答を十分に練習しておきます。

想定質問への準備

メディアから想定される質問をリストアップし、回答を準備します。「なぜ防げなかったのか」「責任者は誰か」「補償はどうするのか」など、厳しい質問への回答も準備しておきます。

NGワードの確認

法的リスクを高める表現、事実に反する可能性のある表現、責任の認否に関わる表現などを事前に確認し、使用しないよう注意します。

記者会見の進め方

記者会見は、以下の流れで進行することが一般的です。

1. 冒頭説明（5-10分）：事実経過、影響範囲、対応状況を説明
2. 謝罪：該当する場合、明確に謝罪の意を表明
3. 質疑応答（20-30分）：メディアからの質問に回答
4. 締めくくり：今後の対応方針、次回発表予定を案内

チェック項目	内容
会見資料	配布資料、スライド、時系列表の準備
会見者準備	想定Q&Aの確認、リハーサル実施
会場準備	会場手配、撮影・録音対応、座席配置
事後対応	会見映像・資料のWeb公開、個別取材対応

記者会見の様子は自社でも録画・録音し、後から確認できるようにしておきます。発言内容について後から問題になった場合の記録としても重要です。

SNS・ネット対応

現代のコミュニケーションでは、SNS対応が不可欠です。公式アカウントでの発信は、迅速な情報提供手段として有効です。Webサイトへの詳細情報へのリンクを添えて、簡潔なメッセージを発信します。

炎上対策については、SNS上でのネガティブな反応が急激に広がる「炎上」への対策が必要です。事実に基づく冷静な対応を心がけ、感情的な反論は避けます。必要に応じて、個別の問い合わせに対応する窓口を案内します。

モニタリング体制として、自社名やインシデントに関連するキーワードでSNSやニュースサイトを継続的に監視します。新たな情報や誤情報が拡散していないか確認し、必要に応じて追加の情報発信を行います。

規制当局・監督官庁への報告

報告義務の確認

マルウェア被害が発生した場合、業種や被害内容によって、様々な規制当局への報告義務が発生する可能性があります。

報告先	対象	報告期限	報告内容
個人情報保護委員会	個人情報取扱事業者	速報3-5日、確報30日	漏洩等報告書（所定様式）
金融庁	金融機関	事案発生後速やかに	システム障害報告
証券取引所	上場企業	決定後速やかに	適時開示（業績影響がある場合）
NISC	重要インフラ事業者	事案発生後速やかに	重要インフラ障害報告
所管省庁	業種による	業種による	業種固有の報告書

報告義務の有無と期限は、事前に法務部門や外部の専門家と確認しておくことが重要です。報告漏れや期限超過は、追加の制裁につながる可能性があります。

報告書の作成

規制当局への報告書は、所定の様式に従って作成します。多くの場合、以下の情報が求められます。

• 事案の概要（発覚日時、検知経緯）
• 漏洩等した個人情報の項目と件数
• 原因
• 二次被害の有無
• 公表の有無
• 再発防止策
• 連絡先

速報の段階では「調査中」の項目があっても構いません。確報では、調査結果を踏まえた詳細な情報の記載が求められます。

証拠保全と法的対応と連携して、正確な情報に基づく報告書を作成することが重要です。

コミュニケーション体制の整備

平時の準備

セキュリティ対策の一環として、平時からコミュニケーション体制を整備しておくことが、有事における迅速な対応を可能にします。

コミュニケーションチームの編成

インシデント発生時のコミュニケーションを担当するチームを編成します。広報部門を中心に、IT、法務、経営企画などが参加します。チームメンバーの役割と責任を明確にし、連絡体制を確立しておきます。

テンプレートの整備

プレスリリース、顧客通知文、社内通知、想定Q&Aなど、各種テンプレートを事前に準備します。インシデント発生時に穴埋めするだけで使用できる状態にしておくことで、初動対応を迅速化できます。

メディアトレーニング

スポークスパーソン候補者に対して、メディア対応のトレーニングを実施します。模擬記者会見を通じて、厳しい質問への対応、ボディランゲージ、メッセージの伝え方を練習します。

訓練の実施

コミュニケーション計画が実際に機能するかを確認するため、定期的な訓練を実施します。

シミュレーション訓練では、仮想のインシデントシナリオに基づいて、連絡体制の確認、意思決定プロセスの演習、メッセージ作成の練習を行います。訓練後には振り返りを行い、計画の改善点を特定します。

記者会見リハーサルでは、模擬記者役を立てて、本番さながらの記者会見を練習します。質問への対応、時間管理、態度・表現などを確認し、フィードバックを行います。

ユーザー意識向上の取り組みの一環として、従業員向けのコミュニケーション訓練も検討します。不審な問い合わせへの対応方法、情報管理の重要性などを周知します。

よくある質問（FAQ）

Q: 被害の全容が判明する前に公表すべきですか？

A: 重大な被害の可能性がある場合は、全容判明を待たずに速報として公表することを推奨します。「調査中」という状態を含めた透明な情報開示が、後からの隠蔽批判を防ぎます。ただし、不確実な情報は「現時点で判明している事実」と「調査中の事項」を明確に区別して伝えてください。公表のタイミングは、被害の規模、社会的影響、ステークホルダーへの影響を総合的に判断して決定します。

Q: 顧客への通知はメールと郵送どちらが良いですか？

A: 影響を受けた顧客全員に確実に届く方法を選択することが重要です。メールアドレスが有効であればメールが迅速ですが、重要な通知であれば郵送との併用も検討してください。法的な通知義務がある場合は、本人に確実に届いたことを証明できる方法（書留郵便など）が望ましい場合もあります。顧客層や通知内容の重要度に応じて、最適な方法を選択してください。

Q: SNSで批判が殺到した場合、どう対応すべきですか？

A: まず冷静さを保ち、感情的な反論は避けてください。事実に基づく正確な情報を公式アカウントから発信し、誤情報の拡散を防ぎます。個別の批判への対応は、建設的な質問には丁寧に回答し、誹謗中傷は無視または報告機能を利用します。必要に応じて、問い合わせ窓口を案内して個別対応に誘導してください。炎上の規模によっては、専門の危機管理会社への相談も検討します。

Q: 取引先から詳細な報告を求められましたが、どこまで開示すべきですか？

A: 取引先との契約内容、NDA（秘密保持契約）、そして自社のセキュリティ方針を確認した上で開示範囲を決定してください。一般的には、影響範囲、対応状況、再発防止策については説明する必要があります。ただし、調査中の詳細や他の顧客に関する情報、セキュリティ上の機密情報までは開示する必要はありません。法務部門と相談の上、適切な開示範囲を判断してください。

Q: コミュニケーション対応の担当者がいない小規模企業はどうすべきですか？

A: 小規模企業では、経営者自身がコミュニケーションを担当することが多くなります。事前に想定Q&Aやテンプレートを準備しておくことで、有事の対応を効率化できます。また、顧問弁護士や外部の広報コンサルタントとの連携を事前に確立しておくことで、専門的なアドバイスを受けられる体制を整えることができます。業界団体や商工会議所のサポートを活用することも一つの選択肢です。

まとめ

マルウェア被害発生時のステークホルダーコミュニケーションは、技術的な対応と同様に重要なセキュリティ対策の一環です。適切なコミュニケーションは風評被害を最小化し、組織の信頼を守ります。

効果的なコミュニケーションの鍵は、事前準備にあります。平時からコミュニケーション計画を策定し、テンプレートを整備し、訓練を実施しておくことで、有事における迅速かつ適切な対応が可能になります。

マルウェア感染対策完全ガイドと併せて、組織全体でのセキュリティ体制構築に取り組むことを推奨します。また、セキュリティガバナンスの観点から、コミュニケーション対応も含めた包括的な管理体制の構築を検討してください。

---

---