情報セキュリティインシデント発生時の信頼維持を支える「説明責任」支援の導入事例
クライアントの課題・背景
物流・小売業界を中心とする大手グループのシステムを担うH社様は、サイバー攻撃の巧妙化と社会からの説明責任の高まりを背景に、情報セキュリティインシデント発生時における「説明責任」を果たすための仕組みづくりが急務となっていました。
インシデントは発生することを前提に、事後に企業として正当性を訴え、社会的信用を維持する体制の整備が求められていたのです。
当社の関わり方・提供したサービス
当社は、大手コンサル会社による過去の調査結果を活用しつつ、以下のプロセスを通じて支援を行いました。
- 説明責任の定義と構成要素の整理
○「自社の情報セキュリティ目的を達成していること」「正しい設計と運用がされていること」の正当性の根拠と定義。
- 情報セキュリティガバナンス体制の見える化
○ISO/IEC 27014に基づき、経営陣の「方向付け・モニタリング・評価・監督・報告」の仕組みを明文化。
○経営陣が情報セキュリティの設計から運用まで積極的に関与していることの表明。
○経営陣による情報セキュリティ活動に対するリソース(ヒト/モノ/カネ)の割り当ての可視化。
- 説明責任を必要とする関係者の洗い出し
○被害者、マスコミ、監督官庁など利害関係者ごとの対応と説明責任の範囲を特定。
- マスコミ対応体制の構築支援
○記者会見時に説明できる情報、してはならない対応を整理(虚偽・隠ぺい・想定外など)。
- 第三者委員会やメディア発信への備え
○他社事例を参考に、正当性主張に必要なドキュメントの類型と情報整理方法を提案。
○各メディアの特性を踏まえた情報発信の提案。
-
チェックリストの提供
○「説明責任を果たすための情報セキュリティチェックリスト」を作成し、日常的な備えを促進。
説明責任の考察
成果・導入効果
- 説明責任体制の明文化と共有:経営層から現場まで、「なぜ、何を備えるのか」が共有されるようになりました。
- 記者会見やマスコミ対応への自信:インシデント時にも、説明に耐えうる情報と体制があることで、信頼回復の第一歩を踏み出せる安心感が生まれました。
- 第三者委員会対応力の向上:証跡となる記録やプロセスが整い、調査においても組織の正当性を主張しやすくなりました。
クライアントのコメント
「インシデント時の対応は技術だけでなく、説明できるかどうかが経営の要です。当社の体制を見える化できたことが、最大の成果でした。」
担当者視点のこだわり・工夫
インシデントは“発生しうるもの”という前提に立ち、技術的な防御策以上に「説明責任」という概念の定義と運用体制の整理に注力しました。各種規格やガイドラインに基づく枠組みを用いながらも、実際の運用やマスコミ対応を意識した現実的な支援としました。
業界や企業規模の特徴への適応
物流・小売業の情報は個人情報・業務機密を含むため、広範な関係者を意識した対応が不可欠でした。グループ会社を横断する体制づくりにおいては、統一方針と現場運用のすり合わせを両立させる工夫が求められました。
未来視点・読者へのメッセージ
「説明責任」はインシデント対応における最後の砦です。企業が社会から信頼を得るには、“守ること”以上に、“語れること”が必要です。今後も企業価値を守るための透明な体制づくりが求められます。
RELATION
その他の事例
CONTACT
万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します
ご不明な点はお気軽に
お問い合わせください
