セキュリティ事故対応の3つの柱【Pマーク取得の基礎知識】
今回の記事はセキュリティ事故が発生した場合の対応がテーマです。
セキュリティ事故への対応方法は事故の内容によって千差万別ですが、どんな場合でも以下の3つが対応のための主要な活動となります。
セキュリティー事故が発生した際の対応その①連絡する
セキュリティ事故が起こったなら、起きた事故に関する情報をしかるべきタイミングで関係者に伝達しなければなりません。次の3方面への連絡は必須です。
第一は会社内の責任者への報告です。事故がどれほどのレベルや緊急性のものであって、どんな処置を取るべきかを判断するのは社内責任者です。プライバシーマーク(Pマーク)取得会社の中には情報漏えい発生から○○分または時間以内に個人情報保護責任者に報告する、というように時間設定しているところもあります。
第二は事故に関係するお客様や取引先への通知です。特に個人情報が漏えいした場合は必ず本人に通知し、事情を説明しなければなりません。
第三は外部機関への連絡です。解決のためにセキュリティ専門機関の指導が必要な場合や、セキュリティ事故に法令違反が絡んでいるゆえに監督省庁への連絡が必要な場合などが考えられます。
セキュリティー事故が発生した際の対応その②処置する
セキュリティ事故対応の主要な部分は起きた事故への処置を講じることです。
まずは応急処置を取らなければなりません。これは事故直後に行うべきことで、事故の直接的な被害を食い止めるために、また会社のサービスやシステムを復旧させるために行うことです。ここで要求されているのはセキュリティ的に不適合な状況を一刻も早く取り除くことです。
しかし応急処置だけで終わらせるべきではありません。もう一つ、是正処置というものを行う必要があります。これは不適合な状況を取り除くためではなく、“不適合が発生した原因”を取り除くためのものです。応急処置が終わったなら、是正処置の計画と実行に移ることを忘れてはなりません。
セキュリティー事故が発生した際の対応その③記録する
連絡・処置と並んで重要なのは事故に関する記録を残すことです。記録は証拠としての役割を果たします。
通常は事故報告書に事故の発生状況、被害の状況、取った処置などを入力または記入することにより記録を保持します。もっとも記録には報告書だけでなくコンピュータ上のアクセスログやカメラの録画情報なども含まれます。
セキュリティ事故が訴訟などの法的手続きや社内の懲戒処置などにつながることもありますので、記録は確実に取ると同時に消滅したり改ざんされたりしないように保護やバックアップをする必要があるでしょう。
まとめ
連絡、処置、記録。これがセキュリティ事故対応の柱です。事故が起きた事実は変えられませんが、この3つを確実に行うかどうかがその後の対応の質を大きく変えることになるのです。
プライバシーマーク(Pマーク)に関するご相談はユーピーエフまで!
https://upfsecurity.co.jp/pmark/#contact_box
★こちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
