ポジションペーパーの話

組織の大小を問わず、ランサムウエアによる被害は増える一方だ。「情報セキュリティ白書2023」によると、2022年は230件を数え、前年比約1.6倍。その攻撃はますます巧妙化が進む。バックデータそのものを狙うケースも増えているらしい。個人情報漏えいも後を絶たない。

先日、「個人情報漏えいの可能性を取引先のメインバンクから指摘された」とある経営者が急ぎ相談をしてきた。その数に緊張する。企業規模からは中核事業が傾くことも危惧される。嘆息が漏れる。だが、私はセキュリティの専門家ではない。むしろ門外漢に近い。ただ、小一時間で方針を明確にし、行動しなければならない。頭の中でかすかにアラーム音が鳴る。

ところが、手元にある数冊の情報セキュリティ本や専門誌、関連レポートはほぼ役に立たない。平常時から非常時への移行期や非常時とする基準自体、「ケースバイケース」「後から判断される」などとあいまいな記載で正直使えない。チェックリストや仕組み、予防措置についての解説はあるのだが、そんな悠長な話ではない。こっちはすぐ火を消したい。その前に火なのか煙なのかを判断し動きたいのだ。

「そう言えば、個人情報漏えい時の対応マニュアルがあるはずだ」と、社内イントラの該当ページでPDFを開きスクロールする。ところが、インシデントが疑われる際のレポーティング手順は細かく記載があるのだが、「今の私のファーストアクション」にどうつなげてよいのか判然としない。落ち着いてじっくり読んでも「報告だけは遅滞なく実施しろ」「ケースバイケース」としか読めない。無性に腹が立った。

原点に返る。「漏えい疑い」状況との距離感でステークホルダーを3つに分け、彼らの立場で「何が知りたいのか」を可視化する一方、各ステークホルダーに「どんな心理状態になって欲しいか」を社長と電話でやり取りすること200秒。スマホのスピーカーから震える声が聞こえる。その場でポストイットに書く。机上に並べる。眺める。

そのうえで、A4の1枚を用意、ステークホルダー毎に異なるタイトルを付し、共通リード文を8行で起こす。そして知り得た情報をもとに、１．インシデント概要、２．ヒューマンエラーが生じた経緯、３．個人情報が漏えいしたおそれのある対象、４．漏えいしたおそれのある個人情報の項目、５．漏えいのおそれが生じた要因、６． 対策・防止策、７．貴社への具体的な影響、８．今後の見通し、９．連絡先、を順に盛り込む。

一方で、A3の1枚にマトリクス図を描く。そこに顧客名を落とし込む、訪問優先順位をつける、横にトーク・スクリプトのラフを描く、傍らで個人情報保護委員会にアポを取る、メディア対応の算段をする、その前にどう説明するか、それはB7のメモパッドに箇条書きでまとめる…

後日譚は省くが、大事には至らずうまくいった。なお、この小一時間で対応したステークホルダー毎のA4ワンペーパーを「ポジションペーパー」と呼ぶらしい。マニュアルは役に立たない。覚えておくと良いだろう。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。