【マンスリーレポート 2002/05】インシデント事後 ベストはYKKアーキテクチュラルプロダクツ、ワーストは、都銀、中央証券
2002年5月 Prisoner'Choice インシデント事後対応 ベスト&ワースト
製品・サービス・業界動向
業界動向
2002年5月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。
>> ベストは、YKKアーキテクチュラルプロダクツ株式会社
YKKアーキテクチュラルプロダクツがWebサイト上で行っていた、「住まいに関するアンケート(2000年6月〜2002年5月)」の回答および個人情報が流出した。
発覚は、5月26日(日)の午前。掲示板上に、情報が漏洩しているとの書き込みがあり、公になった。同日午後3時には外部からアクセス出来ないように対処している。
翌日の27日(月)午後1時には、アンケートを終了させた上でホームページを再開。該当するアンケートに回答したユーザには、通知とお詫びのメールを個々に送り、HP上にも通知ページを付加している。
今回の事後対応が“ベスト”になったポイントは大きくわけて2つ。まずは、柔軟な社内体制が確立されていた点である。事件発覚が日曜日であったにも関わらず、トップ以下が重大な問題であると受け止めて連携を密にとったことが、迅速な対処に繋がったといえよう。実際、カスタマーサポートはもとより開発、法務、総務、広報、情報システム各部門が今回の件に関わり、対処を続けている。
もうひとつのポイントは「ユーザの立場から対処、フォローを考えている」こと。当たり前といえば当たり前のことだが、実際にできていない企業も少なくない。
まずユーザに対して行うことは「通知とお詫び」。同社HPでは、TOPページのヘッダ部分に目立つ赤字でリンクを貼り、通知ページには専用問い合わせ窓口を設置している。特筆すべきは、事件から2週間あまりが経過した現在においても同様の掲載を続けている点だ。一時的に掲げて便宜を図り、信用失墜に繋がると考えすぐに消してしまう企業も多々あるが、「まだ気づいていない該当ユーザがいるかもしれない」といった観点に立てば、今回のような措置におのずとなるのではないだろうか。
また、該当ユーザへのメール送付だが、単にメールを送付するといっても、文面の吟味と確認、送信作業など、すべきことは多い。一刻も速くユーザへ通知するためには、今回のような社内連携、作業分担が必須であるといえよう。
「まだ気づいていない」ユーザに通知する方法として、マスコミと連携を図ることも重要である。広報部門が先頭に立ち、取材を依頼する各マスコミに情報を提供したことにより、今回の件は28〜29日にかけて新聞やテレビで報道された。その時点で、開設している専用窓口には多数の問い合わせがあったとのこと。ユーザへのメール通知+マスコミ取材への応対という、万全の告知体制であった。
各メディアによる報道があった日を境に問い合わせ件数も減少しているとのことだが、現在においても部門間の連携を継続させ、フォローを続けている。問い合わせの内容は多岐に及んでおり、「(自分の)個人情報をリストから削除してほしい」という要望に関してはカスタマーサポートの業務範疇で削除を行うことができる。しかし「(もし流出した情報が悪用された場合の)補償はどうなるのか」などといった問い合わせに関しては、法務部門を含めて会議等を行い、迅速で的確なレスポンスを個別に返せるよう、対応を続けているとのこと。
ユーザの不安を少しでも取り除く、といった根本的な部分を持ち続ける大切さを、今回の事後対応はよく示しているといえるだろう。
ホームページの個人情報の流出に関するお詫び(YKKAP)
http://www.ykkap.co.jp/index.html
YKKアーキテクチュラルプロダクツのアンケート情報が流出(2002.5.28)
https://www.netsecurity.ne.jp/article/1/5303.html
>> YKKアーキテクチュラルプロダクツの★取り表
対応の速さ ★★★★
報告者との連絡 (第一報は掲示板上の書き込み)
社内体制 ★★★★★
ユーザ告知方法 ★★★★★
ユーザ告知内容 ★★★★
その後のフォロー ★★★★★
★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★ 最悪 なしあるいはないも同然
★★ 申し訳程度。
★★★ 許容範囲。
★★★★ 適切な対応。
★★★★★ 考えられることは全て対応。迅速。
>> ワーストは、都銀、中央証券
5月においても、金融関連各社のWebから続々とクロスサイトスクリプティングの脆弱性等の問題点が発覚している。
[ Prisoner Maga ]
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》