事例紹介

失敗しない、予期せぬインシデントに対する危機管理の心得

――事例から学ぶ危機対応のポイント――

会計不正、品質偽装、サイバー攻撃、情報漏洩、予期せぬ有事を認識した際に、その後どのような危機対応をしたかにつき経営責任が問われます。企業の置かれている状況は様々であり、インシデントへの画一的な対応手順はないものの、事例を通じて危機対応のポイントをおさえることはできます。本ページでは典型的な失敗例を4つ示し、どうすれば二次被害を防ぐことができたのか、危機管理のポイントを提示します。

会計不正、品質偽装、サイバー攻撃、情報漏洩、予期せぬ有事を認識した際に、どのような対応を取るか。危機対応時には、インシデント発生後にどのような行動をとったかについて経営責任が問われます。

企業の置かれている状況は様々であるため、インシデントに対する画一的な対応手順というものはありません。一方で、事例から、避けるべきポイント、とるべき行動の手がかりを得ることができます。

以下でインシデント対応の典型的な失敗例を4つ示し、どうすれば二次被害を防ぐことができたのか、危機対応のポイントを提示します。


① 不適切な取材対応

  • 事例の概要
    従業員による重大な横領事件が発生したものの、企業は当初この事件を公表せず内部で処理しようとしていた。
    しかし、この事件は後にマスコミに漏れてしまい、会社への取材依頼が殺到した。
    会社は、原因究明段階であるとして、現段階では一切の取材に応じられないとの対応をとった。
    その結果、事実と異なる報道がなされてしまい、大きな社会問題へと発展することとなった。
  • 対応ポイント(ネガティブな取材)
    メディアの要望にすべて応える義務はない。しかし、情報発信、情報管理の観点から、メディアの先に存在するステークホルダーを意識しつつ、以下の対応を心掛ける。
    • 取材には切実に対応する
    • 正確かつ統一した情報を発信する
    • 回答できない場合でも、隠蔽と思われないよう心掛ける


② 重要データの消失(証拠保全の失敗)

  • 事例の概要
    ある従業員が不正をしているという内部通報を受け、デジタルフォレンジック調査をすることとした
    直ちに当該従業員からPCを回収したが、回収したPC以外にも貸与しているPCがあり、そちらのPCのローカルデータや、共有サーバーの個人フォルダにあるデータを全て削除されてしまった。
  • 対応ポイント(証拠保全時)
    調査の第一歩は情報を集めること。悪意によって証拠が破壊される可能性のある不正事案では特に、以下の点に注意しつつ、情報の保全を行う。
    • 調査対象者を警戒させない
    • 対象となりうる機器等を網羅的に把握する
    • 保全は速やかに行う


③ 侵害端末の初期化

  • 事例の概要
    サーバーがランサムウェアの被害により起動しなくなるという事象が発生した。IT部門の担当者は業務の再開を優先して、サーバーを初期化して再構築を進めた。
    その後の調査で、初期化したサーバーに対して不正アクセスが行われており、そのサーバーからネットワークでつながるグループ内の複数企業の端末に不正アクセスが行われていたことが判明した。
    外部の専門家に侵入経路等の調査を依頼したが、初期化によりサーバーに記録されていたログが消去されてしまい、侵入経路・攻撃手口の特定ができなくなり再発防止が困難になった。
  • 対応ポイント
    サイバーインシデントの多くで、インシデント対応に係る知識や経験不足により調査に必須であるログが失われている。どの企業にも起こりうる危機と認識したうえで、以下のようなポイントを意識した対応手順を整備する。
    • 侵害端末の初期化前に、データを保全する
    • サイバーインシデント対応、および攻撃手口への理解を深める
    • 「全社的」な危機との認識をもつ


④ 資産保全の遅延による責任財産の散逸

  • 事例の概要
    従業員が会社の資金を横領しているとの通報があった。
    直ちに内部調査を開始し、2カ月に及ぶ調査の結果、従業員が会社の資金を横領していたことが明らかとなった。
    当該従業員に対し横領した会社の資金を返還するよう求めたが、既に従業員の財産は散逸しており、横領された資金の回収をすることができなかった。
  • 対応ポイント
    会社の不利益になる不正が発生した場合、被害を最小限に抑えるための行動も重要となる。以下のポイントについての確認を心掛け、守るべき資産を確実に守る。
    • 財産秘匿の可能性に留意する
    • 資産保全の必要性について検討する
    • 民事責任を追及するタイミングについて検討する


以上の事例が示すように、予期せぬインシデントは避けることは困難ですが、危機を認識した後に被害拡大を防ぐための手立てはいくつも存在します。

迅速かつ適切な対応は経験がなければ実行が難しいことを、事例は同時に示しています。デロイト トーマツは、あらゆる類型の危機対応の経験によって裏付けられたご助言を差し上げることができます。


インシデント発生時には、まずは事前の契約不要の「危機管理センター」(電話番号:0120-123-281、メールアドレス:dt_emergency@tohmatsu.co.jp)にお問合せください。

インシデント発生前の事例研修・ガイドライン作成なども受け付けています。

お役に立ちましたか?
危機管理センター

当局対応、不祥事対応、情報漏洩、サイバー攻撃等の様々なインシデント発生時の支援を一元的に受け付け、グループ内の適切な専門家にワンストップで連携