顧客の重要書類を紛失したら？インシデント体験から学ぶ

ランサムウェアに感染して製品の流通が停止した等、昨今は様々なインシデントがメディアで報道され、被害を受けた企業はウェブサイトで経緯等を公開しています。

しかしながら、インシデント対応の詳細な経緯が公開されることはあまりありません。企業イメージに傷がつく、公開の必要性がない等、理由は様々と思いますが、失敗から学べることは多々あります。

今回は、過去のインシデント事例をフィクションとして修正し、失敗から学べるインシデント対応のポイントとして記事にしたいと思います。

●ある企業で発生したインシデント

Ａ社は従業員200名、主な事業は物件のリノベーションで、大手不動産会社から業務を請け負っています。情報セキュリティ対策は個人情報を保有する機会があまりないことから重視していなかったため、これからという状況です（※）。

※東京都中小企業サイバーセキュリティ対策事業だと「レベル１：啓発事業」に取り組み始めているレベル。

参考：東京都サイバーセキュリティ対策事業の成り立ちと今後について

この企業において、個人情報を含む書類を紛失しました。その対応経緯を次項で紹介します。

●インシデント対応の経緯

[発覚当日]

・A社から業務委託している工事会社の社員が、リノベーション物件の情報を記載した書類を紛失した。本来あってはならない事だが、その情報には前居住者の氏名等の個人情報も含まれていた。

・最後に書類を見たのが2日前であるが、どこで紛失したのか見当がつかない状況。

・紛失した情報は７名分の氏名、連絡先等と特定。

・業務委託元の大手不動産会社へ一次報告、詳細な報告を求められる。

・A社社員は業務委託先の従業員とともに、2日間の行動場所で書類を探す。


[１日後]

・ 大手不動産会社へ報告、その後、以下を要求された。

　- 情報セキュリティポリシーの策定

　- 社員教育の実施

　- 業務委託先へ情報取扱いに関する契約、教育を実施


[３日後～５日後]

・紛失した情報の７名に対し個別にお詫び（菓子折り持参訪問）

・大手不動産会社へ詳細報告。


[１か月後]

・情報セキュリティポリシーの策定（施行は半年後）

●インシデント対応の補足・考察

上記の例では、工事業者には不要な情報である個人情報を渡していたことで、個人情報漏えい事案となってしまいました。しかし元をたどると、個人情報は保有していないという思い込みや、情報管理をするための土台となる情報セキュリティポリシーが無かった事から発生したものと推察されます。

仮に情報セキュリティポリシーがあれば

・情報の授受管理

⇒工事業者には不要な情報である個人情報を渡すことは無かった。

・社員教育や業務委託先管理

⇒事業を行う全てのメンバーが情報取り扱いを意識することで、様々な局面で書類に不要な個人情報が記載されていることを指摘できた。また、書類の紛失も防げた。

と言ったことが期待できました。

東京都中小企業サイバーセキュリティ対策事業では「基本対策事業」という事業で、情報セキュリティポリシーの策定支援を行っています。今年度の参加企業募集は終了しましたが、来年度も事業が行われる可能性があります。東京都産業労働局のウェブサイトや公式X等を適宜ご確認ください。（ブックマークやフォローをお勧めします）
参考：令和7年度中小企業サイバーセキュリティ基本対策事業