情報流出後の事後対応
仕事柄、大学関係に限らず情報流出事例をできるだけ多く把握するようにしている。
ニュースサイトからの情報収集だけではなく、当該組織のホームページについても
可能な限り確認するよう努めている。
もし同様の事例が我々の大学で発生した場合、我々は組織として説明責任を
果たさなければならないからである。
情報流出の事例認識だけではなく、図らずも情報流出事例に関わった組織が
どのような事後処理を行ったか知ることは、我々が同様の事例に遭遇した
場合の事後処理能力を向上させることにつながる。
また、説明責任を果たすために説明しなければならない項目を把握しておくことで、
我々は日常どのような情報を収集しておくべきかが明らかになる。
情報流出の事実発覚後、我々は、報道機関や(個人情報が含まれる場合は)
その当事者に、何を説明しなければならないのか、自分なりに整理してみた。
0)謝罪
−機密情報を流出させたことに対する謝罪
1)事実確認
−流出情報の存在や、その流出事件の発生は事実なのか?
2)経緯説明
−どのような経緯で情報流出は発生したのか?
3)対応説明
−情報流出事件に対し、組織はどう対応した(する)のか?
4)現状の管理体制説明
−現在、どのように機密情報が管理されているのか?
5)再発防止策の説明
−今後、どのように再発防止を実現するのか?
これらのニュースリリースを「如何に早く」「正確に」打てるかが、その組織の
危機管理体制の評価につながると考えられる。
こう考えると、結局「いつ」「だれが」「どこで」「どんなデータを」「どうした」
という情報を日常から収集しておかねばならない事に気づく。
つまり、どこまで詳細かつ正確な経緯が確認できるか、ということが出発点となる。
発生した流出事件が、具体的にどのような経緯をたどって発生したかを知ることで、
現在の情報管理体制の問題点が明らかとなり、有効な再発防止策を立案することが
可能となる。恐らく理想的には・・・。
現実には、ここまで詳細な情報を日常的に収集することは困難を伴う。
内部統制が行き届いている企業ならば比較的(?)容易かもしれない。
企業内のクライアント環境を統一し、どこかから内部統制ソリューションを
購入後、全クライアントに情報収集のためのエージェントを仕組めば良い。
ただし、コスト度外視で・・・。
しかし、一部(?)の大学においては、様々な環境が混在するクライアント環境が
標準であり、また、それらは(大概)管理されていない場合が多い。
すなわち、クライアント視点での内部統制は実効性が低いと言える。
じゃあ、どうすれば良いのか。そこはちょっと研究ネタだったり・・・
説明責任という観点から、先の合否情報流出事例を見てみると、当該大学さんは
非常に迅速、かつ明確な状況説明をなされていると感じる。
新聞にも広告を打たれ、また、万一、二次被害に遭われた方への補償についても
明確に姿勢を打ち出されている。
トップの意志決定もさることながら、当該情報の収集に携わる担当者(恐らくシステム担当?)
の方々の苦労の成果だろう。
大学関係者な皆様は今後の参考のためにご覧になられた方がよいかもしれない。
ニュースサイトからの情報収集だけではなく、当該組織のホームページについても
可能な限り確認するよう努めている。
もし同様の事例が我々の大学で発生した場合、我々は組織として説明責任を
果たさなければならないからである。
情報流出の事例認識だけではなく、図らずも情報流出事例に関わった組織が
どのような事後処理を行ったか知ることは、我々が同様の事例に遭遇した
場合の事後処理能力を向上させることにつながる。
また、説明責任を果たすために説明しなければならない項目を把握しておくことで、
我々は日常どのような情報を収集しておくべきかが明らかになる。
情報流出の事実発覚後、我々は、報道機関や(個人情報が含まれる場合は)
その当事者に、何を説明しなければならないのか、自分なりに整理してみた。
0)謝罪
−機密情報を流出させたことに対する謝罪
1)事実確認
−流出情報の存在や、その流出事件の発生は事実なのか?
2)経緯説明
−どのような経緯で情報流出は発生したのか?
3)対応説明
−情報流出事件に対し、組織はどう対応した(する)のか?
4)現状の管理体制説明
−現在、どのように機密情報が管理されているのか?
5)再発防止策の説明
−今後、どのように再発防止を実現するのか?
これらのニュースリリースを「如何に早く」「正確に」打てるかが、その組織の
危機管理体制の評価につながると考えられる。
こう考えると、結局「いつ」「だれが」「どこで」「どんなデータを」「どうした」
という情報を日常から収集しておかねばならない事に気づく。
つまり、どこまで詳細かつ正確な経緯が確認できるか、ということが出発点となる。
発生した流出事件が、具体的にどのような経緯をたどって発生したかを知ることで、
現在の情報管理体制の問題点が明らかとなり、有効な再発防止策を立案することが
可能となる。恐らく理想的には・・・。
現実には、ここまで詳細な情報を日常的に収集することは困難を伴う。
内部統制が行き届いている企業ならば比較的(?)容易かもしれない。
企業内のクライアント環境を統一し、どこかから内部統制ソリューションを
購入後、全クライアントに情報収集のためのエージェントを仕組めば良い。
ただし、コスト度外視で・・・。
しかし、一部(?)の大学においては、様々な環境が混在するクライアント環境が
標準であり、また、それらは(大概)管理されていない場合が多い。
すなわち、クライアント視点での内部統制は実効性が低いと言える。
じゃあ、どうすれば良いのか。そこはちょっと研究ネタだったり・・・
説明責任という観点から、先の合否情報流出事例を見てみると、当該大学さんは
非常に迅速、かつ明確な状況説明をなされていると感じる。
新聞にも広告を打たれ、また、万一、二次被害に遭われた方への補償についても
明確に姿勢を打ち出されている。
トップの意志決定もさることながら、当該情報の収集に携わる担当者(恐らくシステム担当?)
の方々の苦労の成果だろう。
大学関係者な皆様は今後の参考のためにご覧になられた方がよいかもしれない。