プラクティス7-6　インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順

　従業員数500名規模で10店舗で旅行代理店サービスを提供しているT社は、自社で過去に開発した業務システムで注文受付、海外事業者との決済、ホテルとの契約の交渉など様々な業務に利用している。従業員の端末がマルウェアに感染してしまったことが原因で、海外ツアー中の顧客へのサポートができなくなるインシデントが発生した。その際、正式な公表が遅れたことで取引先から苦情が寄せられるなど自社のレピュテーションへの悪影響が生じ、その反省を踏まえてインシデント発生時の外部報告・公表のルールを定めることになった。

T社の実践のステップ

T社のCISOが実践したステップは次の通りである。

1. ①インシデント発生時に連絡が必要な相手先のリストアップ
2. ②誰の責任で、誰に何を伝えるかのルール化
3. ③重大なインシデントの場合の対外公表に関する社内判定会議の設定

T社の実践内容

　T社のCISOが実践した内容は次の通りである。インシデントが疑われる事象の場合、外部委託のセキュリティオペレーションセンター（SOC）からの通知や顧客からの連絡をもとに、自社でインシデントと判断したタイミングを起点として、次の要領でエスカレーションを行うこととした。

• SOCの助言により、エスカレーション担当を指名し、公開資料noteを参考にその業務内容を規定。
• インシデント発生時のエスカレーション手順を、次の３種類の区分に基づいて設定：
  1. 業務システムの応答が悪いと真っ先に影響する予約・発券サイトの運営事業者との間では、「原因は不明だが、サーバの応答速度が低下している」といった段階から共有する
  2. それ以外の取引先については、一定の状況が把握できた段階で、予め定めた窓口宛に、相手先への影響見通しを含め、経営ガイドライン付録Cを参考に定めた様式noteにて連絡を行う
  3. 重大と判断されたインシデントは社長承認のもと、広報室を通じて対外的に公表する
• 上記のルールが適切に機能することを、SOCベンダーと取引先の協力を得て訓練にて検証し、そこで得られた課題点をもとに様式の改良を行った。