企業規模の大小を問わず、問題が生じたときに経営者の責任が問われるのは世の常だ。例えば、自社製品に瑕疵(かし)が見つかった場合、直ちに製品を回収し、原因を究明するとともに、経営者は顧客や取引先、株主に対して説明責任を果たさなければならない。
それでは、情報セキュリティに関わる事故の場合はどうだろうか。外部からのサイバー攻撃を受けて、社内で保管していた顧客情報が流出する。あるいは製品の設計・製造・販売情報などを管理するサーバーがシステム停止を余儀なくされる。そういった事態になれば、企業活動そのものが大きな影響を受ける。当然、ステークホルダーに対して説明責任が生じる。
企業のパソコンやサーバーのデータに暗号をかけて使えなくし、復号のために身代金を要求するウイルス、ランサムウエアが猛威を振るったのは記憶に新しい。他にも特定の企業を狙った標的型攻撃など、犯罪者の手口は巧妙化しており、いつ被害者になっても不思議ではない。情報セキュリティ事件に巻き込まれると厄介なのは、サイバー攻撃の被害者になるだけでなく、加害者になる恐れがあることだ。
経済的損失だけでは済まない事態に… 続きを読む
SID : 00119005
執筆=山崎 俊明
