前項で、情報は、その伝達目的と内容から、「共有」と「公開」に分かれるのだ、ということをご説明いたしました。 今回は、情報の「公開」に焦点を当てます。

「情報公開」の内容とタイミング

仮に受けたサイバー攻撃が、二次被害の発生が濃厚な内容であり、直ちに社会に対して注意喚起を行わねばならないものでない限りは、「共有」と違い、急ぐ必要はありません。 むしろ、ある程度状況が整理された段階がふさわしいと言えます。 総務省の資料では、2つのケースを示しています。

①通常のケース

通常サイバー時攻撃を受けた場合は、最低でも2回の情報公開が求められます。

・1回目：被害公表

被害を受けた事実を公表します。 通常はインシデント対応を行った後に行いますが、制度上、「×日以内に報告（公表）」と定められている場合もありますので、確認が必要です。

必要に応じて、2回目以降の回数を重ねる場合もあります。

内容は、二次被害防止目的を優先します。

・最終報告

詳細の発表とノウハウの共有 インシデント対応が完全に完了した後は、組織内で被害原因・内容の調査や、再発防止策の制定を行うことになります。

これらがまとまり次第、この内容を公開します。

これにより、関係省庁は、各業界に合わせて警告を行い、各組織はセキュリティ対策を強化することが可能です。

また、こうした公式発表を行うことで、企業組織の社会的な責任を果たしていることをアピールすることもできるでしょう。

例えば、2022年6月に発生した、地方自治体の下請け業者によるUSBの紛失事件は、その後第三者委員会を設立し、同年11月に報告書、という形で、「発生の背景や経緯」の他、「その後の対策」についての詳細を公表しています。

②緊急発表が必要なケース

初動対応から、復旧対応中までの間に発表が必要なものについては、先ほど、「情報共有と違い、情報公開は急ぐ必要性が薄い」と記載しましたが、特定の場合、復旧の対応中にもリリースが必要な場合があります。

それは、攻撃を受けている対象が、一般のユーザーに公開されているシステム・サービスで、そのシステムの一部または全部が、利用できないケース です。

携帯電話の通信状況や、銀行のATMシステムがダウンした場合、全てが改善してからのリリースでは、社会的信用を失いかねません。

まとまった情報展開が必要なのは他の項と同様ですが、このような場合は、「システムが使えない範囲」や「システム再開の目途」などを都度発表する必要があるでしょう。

情報の報告先

情報の共有先は、具体的に利害関係にある相手、あるいは業務上関係を持っている相手であるため、想定がたやすいです。
一方、「報告先」は具体性に欠けます。

そこで、サイバー攻撃を受けた場合に一般的に報告を行うべき機関をご紹介します。

・警察

サイバー攻撃にあった事実は、その他の犯罪と同様、警察に届けましょう。

警察庁は、警視庁・府県道警察本部各々で相談窓口を用意しています。

例えば警視庁は、「中小企業サイバー犯罪相談窓口」を設置しています。

ですが、上述の通り「各々で」の対応になるため、2023年現在、専用のサイトがあるのは全国で19警察にとどまります。

警察庁が2022年、企業や病院などに対して行ったアンケート調査によると、過去1年間にサイバー攻撃にあった98団体の内、46団体は警察や監督官庁に届けていませんでした。

理由（複数回答可能）は、「サイバー攻撃にはあったものの、実質被害はなかった」が最大で74％ではありますが、「どこに届けるべきかわからなかった」が7％ありました。

この回答結果を受けて、警察庁は専用サイトを創設し、ネット上の窓口を一本化することを2023年4月に決定しています。 連絡内容と都道府県から、管轄に振り分ける想定の模様です。

・監督官庁

それぞれの組織を監督する、監督官庁へ報告を行います。

各省庁は、それぞれの分野において、サイバーセキュリティ対策の発信・注意喚起を行っています。

例えば、近年医療機関に対するランサムウェア攻撃が相次いでいますが、これに対して厚生労働省は以下のような対処を行っています。

医療機関等がサイバー攻撃を受けた際の厚生労働省の連絡先の設定 医療情報システムの安全管理に関するガイドラインの発信 医療機関向けサイバーセキュリティ対策研修の実施　　…　など

あらかじめ、自組織が攻撃を受けた際に連絡する窓口を調べておくとよいでしょう。

・情報セキュリティ安心相談窓口

IPA（独立行政法人除法処理推進機構）が運営する組織です。

サイバー攻撃を受けた後の対処や事後処理の相談の他、対策方法の相談、情報セキュリティに関する一般的・技術的な相談を受け付けています。

2015年以降、年間の相談件数は全体的に上昇傾向にあり、2022年は、過去2番目に多い9,401件に上りました。

・「個人情報保護委員会」と「本人」

サイバー攻撃を受けた結果、情報が漏洩した場合、その中に個人情報が含まれるのであれば「必ず」連絡しなければならないのが、この2つです。

他の連絡先は、被害報告をしなければならないという義務は定められていませんが、個人情報が流出した場合は、2022年4月に改正された個人情報保護法により、報告が義務付けられています。

個人情報保護法の改訂、報告義務について

さいごに

情報の共有と公開について、簡単にまとめると次のようになります。

これまでの社会では、サイバー攻撃の被害にあってしまった場合、被害状況に関する情報を「出す」か「出さないか」という判断がなされるケースが大半でした。

ですが、現代では、「どのタイミングで」「どの情報を出すか」ということが、判断軸になるべきです。

被害組織が公表した情報を見て、その組織の「落ち度」を批判することは簡単ではありますが、それがひいては、「被害者が被害状況を公表しない」という状況につながってしまっては、社会全体の不利益になりかねません。

前半の記事でも触れましたが、日々多様化複雑化するサイバー攻撃に対抗するためには、社会一丸となって守りを固める必要があります。

実際に攻撃を受けた時には、その対応に追われますので、その段階で「情報の共有」「周知」の整理は難しいはずです。

あらかじめ、「想定される被害」を設定し、それぞれに対して対応内容を具体的に決めておくことが、「もしも」のときに役に立ちます。