ポイント2 問い合わせを増やさないためにも、二次被害の可能性について正確に伝えること
大企業であれば多くの社員が分担して対応をすることができるかもしれません。しかし、中小企業では電話対応だけで人的リソースのすべてを奪われてしまうかもしれません。良い対応ができなかったことが、さらなる企業の信用失墜につながることも考えられます。
どのような被害が発生するか、事故があってから検討するために、このような事態に陥ることになります。
本来であれば、リスクアセスメントを実施する際に「この情報はどのような影響をあたえるか」について、情報の漏えい、破壊、利用不可などについてそれぞれ検討します。
しかし、プライバシーマークやISMS認証などを取得している企業でも「情報がどれほど大事か」という観点で検討していることが多いために、事故が発生した時に大まかな被害の算出ができないということになっています。
どのような被害が発生する可能性があるのかを想定できていないことが、事故が発生した時の被害を増大させていることもあるのです。
日々の情報収集が事故発生時の被害を軽減する
しかし、事前の被害想定や情報収集というのは中小企業にとっては難しいでしょう。これは年金機構などの機関でも同じかもしれません。ですから、これまでに発生した事故をベースにした学習が必要になります。もちろん自社内で起きている小さな事故からの学習も必要です。
小さな事故に対応できなければ、当然大きな事故には対応できません。年金機構のインシデントが5月8日のウイルス感染で収束せずに、さらにウイルス感染、不正アクセスと被害を拡大してしまったのも、小さな事故での対応が不十分だったからでしょう。