■情報セキュリティ対策
　情報セキュリティは、機密性、完全性、可用性に加えて、真正性、責任追跡性、信頼性の6要素によって決定される。いわば情報は、入手するために許可が必要であり、間違いがあってはならず、認可の上で伝達されるものであり、発信者に責任の所在があり、入手者にはアクセス管理の責任があり、内容およびシステムを含む情報発信者の信頼性がなければならないのである。

　情報化社会で活動する企業が情報を発信する上で、情報セキュリティ基本方針を持ってリスクに備えることは、今では最低必要な存続条件といっていいだろう。情報資産（紙・電子情報・ソフトウエア・ハードウエア・媒体「CD・MO」・サービス「回線・ネットワーク管理」・要員「オペレーター」）を基に、情報資産目録を作成し、先の情報セキュリティの3要素（機密性・完全性・可用性）に照らしあわせて評価し、情報漏洩に対する影響を数値化して、標準化することがまず情報セキュリティ対策の前提となる。それはリスク値として「情報資産価値＋脅威＋脆弱性」からなる指標に、リスク評価として「リスク被害程度×発生頻度×事故に至る確率」をあわせて整理しておくことが望まれる。

　このような前提の上にリスクコントロールを考慮すると、4つのリスク対応項目が絞られることになる。それは、

１．リスク軽減
２．リスク保有
３．リスク回避
４．リスク移転

である。具体的には、何らかの対策を系統的に持つことでリスクを軽減し、リスク受容水準内で保有し、漏洩する危険性のある情報入手の制限や破棄をもってリスクを回避し、リスク対応を専門家（企業）や保険会社に移転することである。

　このような取り組みを一貫して行うためには、従業員教育や内部監査をはじめ、情報セキュリティマネジメントをシステム化して運用する必要が出てくる。情報リスク管理も、現状把握、目標設定、対策、改善のサイクルとして、常に再評価できることが重要である。

■情報セキュリティと事後対策
　情報漏洩事故への対応策として、事前にリスクコントロールを組織的に行うことは重要であるが、インシデント発生に対して緊急に対応できるマニュアルを作成したり、迅速かつ効果的に対応できる手順・役割の確認を日常的に行うことも、初動時間のロスや対応の悪さにつながらないために、より重要である。

　応急処置として、責任者・担当部門への連絡とともに、早急な事実確認とシステムの稼動記録を保存の上、被害を拡大しないためにシステムの停止、ネットワークの遮断などを被害調査と並行して実施する必要がある。このとき、内部調査や要因特定に時間をとられてしまい、広報を通じた所管庁への連絡が遅れることは、事後対策として社会的責任を回避する行為と受けとられかねないので、マスコミを通した迅速な「社会」へ向けての情報開示を行うべきである。

　ここでさらに大切なことは、情報漏洩は個人情報の流出であるという点である。インターネットの復旧を待つことなく、顧客への通知、お詫び、電話によるユーザー専用窓口の設置、既設の電話回線の増設などを行う必要がある。二次被害、風評被害を広げないために、こうした初動の迅速かつ的確な対応は、企業の真価を問われるのである。

　事故対応はこのように、事前準備、事実関係の調査、緊急対策をした上で、事後対応としてようやく本格的な調査委員会の設置、調査結果・再発防止策の公開、被害補償、関係者の進退、マスコミを通した「謝罪」へと進む。この対応の順番を意図的に変更し、事故情報の流出を恐れて対応を遅くしようものなら、企業の社会的価値と信頼は下がり、過去の事例をみるまでもなく、企業生命にとどめを刺す事態へと発展しかねないのである。

　いうまでもなく、情報や事実を曲げて自社に都合のよいものに改変し公表することだけは、絶対に避けるべきである。