サイバー被害に遭った経営者の告白、取引先→「大変申し上げにくいのですが…今まで一体何をしていたんですか?」各所の関係悪化に震えるリアル
ところが、一切の対応を任せていたシステム会社から、突然「(デジタルフォレンジック)調査に1000万円かかる」と巨額の費用を告げられました。経営者としては、セキュリティ素人だからこそプロの専門会社にお金を出して任せてきたはずなのに、なぜその支出が必要なのか理解できません。どうしても納得できず、セキュリティコンサルティング会社のセキュリティ専門家に入ってもらって、判断を仰ぐことにしました。
セキュリティ専門家:今回の犯罪者は、「二重脅迫型」といって、データを暗号化した上で使い物にならなくするだけではなく、事前にデータの盗み出しを行う集団であることが特定できました。情報流出が起こっている可能性があることを前提に、以降の取り組みを進める必要があります。
被害経営者:そんなことになっているなんて、システム会社からは聞いていません!特にファイルサーバ内のデータが漏れるのは本当にまずい……取引先になんて報告すればいいんだろう……(沈黙)
セキュリティ専門家:それに加えて、今回被害に遭ったサーバの中に顧客情報や社員情報が保存されている場合、個人情報保護法のサイバー攻撃による情報漏洩の恐れに該当するため、内閣府の機関である「個人情報保護委員会」への報告が義務化されています。
こちらは被害発生の事実を知った日から概ね3日〜5日以内に報告する必要があるので、すぐの対応が必要なのですが、今回被害に遭ったサーバやパソコンには個人情報は含まれていましたか?
被害経営者:重要なデータは全て、サーバの中に保存していたので、個人情報は含まれていると思います。
セキュリティ専門家:どのくらい個人情報がありそうですか? ざっくりでも構いません。
被害経営者:○万件くらいでしょうか。
セキュリティ専門家:その中には、取引先から預かっている個人情報も含まれていましたか?
被害経営者:はい、ありました。
取引先や個人情報保護委員会に加え、警察への相談も必要
セキュリティ専門家:それなら、取引先へも早急な報告が必要になります。委託先である御社から個人情報漏洩のおそれが発生した場合、委託元も併せて個人情報保護委員会への報告が必須となります。いずれにしても、これからは詳細な原因究明が必要になります。
無料会員登録はこちら
ログインはこちら