アダストリアのサーバが不正アクセスを受け同社のECサイト「ドットエスティ」から約104万件の個人情報が漏洩したと発表した。発表によれば、同社が運営するECサイトの利用者の氏名や住所、メールアドレスなどが漏洩対象となっている。

不正アクセスを確認後にすばやく何をするかが復旧と信用回復の勝負になる。

ネットワーク遮断、ECサイトと社内業務システムの停止までは手順に織り込んであるのが常識的な対応だが、安全性が確認できたと再稼働する条件や手順まで具体的に取り決めをしているだろうか？

この手のニュースでよく見る「外部の専門機関の協力を得て、原因究明やセキュリティーの監視強化など再発防止に取り組む」というのは、あなたの会社でも準備ができているだろうか。不正アクセスで個人情報が漏えいした場合、漏えい確認から3日以内に個人情報保護委員会にも報告をしなければならない。

事故対応は、発覚直後から時間制約があるなかで未経験の対応を次々とおこなっていかなければならない。今回のような事例に接したら、他社の対応から学び自社の対応手順の再確認をする機会として活かして欲しい。

・不正アクセスのニュースを見たら、その都度、自社の事故対応を再点検する。
・ニュースのたびに、協力を得る外部の専門機関と情報交換をして関係を密にしておく。
・漏えい事故のニュースを見たら、保護委員会への報告方法、本人への通知方法、社内体制図の更新確認を行う。