セキュリティ事故発生、企業はどこまで「情報開示」すればよいのか：セキュリティのアレ（33）

本連載に関するご意見・ご感想などはこちらまで！
Twitterハッシュタグ：#セキュリティのアレ

攻撃者に利する結果になる？――情報公開のメリット／デメリット

　セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第33回は、情報セキュリティ事故発生時の望ましい情報公開の在り方について議論します。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。

＠IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏

宮田　セキュリティのアレ。第33回では、セキュリティ事故発生時などの「情報開示の在り方」について扱います。サイバー攻撃の被害に遭った企業などは、どんな情報をどのように開示していけばよいのか。結論を出すのはなかなか難しい問題かもしれませんが、議論してみたいと思います。

根岸氏　難しい問題ですね。情報漏えいなどの事件・事故は日々発生していますが、情報をどれだけ詳しく公表するか、あるいは全く明かさないのかは企業によってさまざまです。

辻氏　当事者が情報を全く開示しておらず、ニュースなどで初めて事件を知るケースもありますね。僕は「一次情報を見る」ことを重視しているんですが、それがない。メディアの取材だけに応じたのだとしても、その元情報はどこからきたのか？ 不思議ですね。

根岸氏　情報開示のやり方に正解はありませんから、迷ったときには過去に事件・事故を起こした同業界の企業の対応例を“テンプレート”として参考にしている企業もあるようです。

辻氏　そのようですね。僕が聞いた話では、「他の企業以下になってはいけないが、他の企業以上の対応をする必要もない」という認識があるようです。

根岸氏　すごく日本的ですね。このテーマについてはNISC（内閣サイバーセキュリティセンター）が2015年に出した「企業の情報セキュリティリスク開示に関する調査（pdf）」が参考になります。

　セキュリティ事故が発生したとき、企業はどこまで情報開示をすべきなのか。本編では企業にとっては非常にセンシティブなこのテーマについて、各種調査報告書やガイドライン、米国の状況、過去事例などを取り上げながら、深掘りしていきます。ぜひご覧ください。

画像クリックで連載トップページへ