top of page

【CSIJコラム41(2026,1,28)】
「信頼を取り戻す適切な公表」

​​​

グローバルセキュリティエキスパート株式会社
田 中  悠

 「何も公開しない訳にはいかないが、どこまでの情報を出すべきか分からない。そもそも公表するメリットを見出せない。」

 こうした不安や迷いを抱える経営層や関係部門の方々は多いのではないでしょうか。

 このコラムでは、企業がサイバー攻撃を受けた際の公表(法的なものではなく自主的な公表)のあり方と、その重要性について取り上げます。

 

1.サイバー攻撃が企業にもたらす影響

 サイバー攻撃は、企業の事業継続、顧客との信頼関係、ブランドイメージ、株価などに深刻な影響を及ぼします。特に、個人情報や機密情報の漏洩は、顧客や取引先との信頼を大きく損なう要因となり、企業の評価にも直結します。このような事態では、経営層の迅速かつ的確な対応が求められることでしょう。その対応の一環として、情報の公表は極めて重要な役割を果たします。

2.公表の重要性

企業が自主的に情報を公表することには、以下のような重要な意味があります。

(1)情報発信の主導権を握る

企業が早い段階で事実を発信することで、憶測や誤情報の拡散を抑え、正確な理解を促すことができます。結果として、ブランドへのダメージを最小限に抑えることにつながります。

(2)「隠蔽」との誤解を招かない

最近のランサムウェア攻撃では、単にデータを暗号化するだけでなく、盗んだ情報を外部に公開すると脅す「二重脅迫」が一般的になっています。企業からの公表が遅れ、攻撃者がリークサイトで先に情報を公開した場合、世間から隠蔽と受け取られる恐れがあります。だからこそ、透明性を持った対応が信頼につながります。

(3)顧客や取引先を二次被害から守る

被害の内容によっては、取引先や顧客に影響が出ることもあります。正確な情報を早めに共有することで、関係者が適切な対応を取りやすくなり、被害の拡大を防ぐことができます。

企業の経営層がこうした責任を果たし、自ら情報を開示する姿勢を示すことは、利害関係者との信頼関係を築く上で欠かせません。

 

3.公表のタイミングと内容の整理

 サイバー攻撃を受けた際、企業が信頼を維持するためには、タイミングと内容の両面で適切な公表が求められます。特に、状況の進展に合わせて情報を段階的かつ誠実に開示していくことが重要です。

 以下では、各段階における公表タイミングと公表内容の項目例を示します。

 

【第一報】

〈公表タイミング〉

  • 深刻な被害の判明時点

  • 被害を外部に知られてしまう可能性が出た時点(リークサイトへの掲載など)

  • インシデントの発覚時点(二次被害発生のおそれがある場合は速やかに)

〈公表内容〉

  • インシデントの概要、攻撃の種類

  • 経緯(発覚日、対応等を時系列で示す)

  • 被害範囲、業務や顧客への影響、侵害原因(調査中の場合はその旨を記載)

  • 相談機関への相談有無

  • 所管省庁への報告状況

  • 注意喚起

  • 問い合わせ先

【第二報以降】

〈公表タイミング〉

  • 被害範囲や影響、侵害原因等が判明した時点

  • 調査中に深刻な被害が新たに発覚した時点

  • 被害や障害が発生していたシステムの復旧時点

〈公表内容〉

  • (漏えいがあった場合)漏えい情報の種類・件数

  • 業務や顧客への影響内容、影響範囲

  • 業務システム、提供サービス等の復旧状況

  • 侵害原因、攻撃の経緯

  • 対応の経緯

  • 調査方法

  • 注意喚起

  • 影響のあるお客様への連絡状況

  • 問い合わせ先

【最終報】
〈公表タイミング〉

  • インシデント対応完了後

〈公表内容〉

  • 経緯、調査結果等のまとめ

  • 再発防止策

  • 問い合わせ先

4.公表時の留意点

  • 不確かな情報を無理に出さない。

  • 一般の人が理解しやすい表現を使う。

  • 未修正の脆弱性や被害を受けたシステムの詳細な構成情報までは公開しない。

  • 責任回避や不誠実に捉えられるような表現は避ける。

5.まとめ
 公表は企業の姿勢を示す重要な機会です。迅速かつ分かりやすい情報提供により、企業は信頼を取り戻すことができます。

 一方で、影響が局所的であるため公表しない判断に至る場合もあります。しかし、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」では、自主的な公表はサイバー攻撃の脅威に対する社会的な認知を高め、社会全体の対策や被害組織のインシデント対応への理解促進につながるとされています。つまり、公表は企業対応のみにとどまらず、社会的意義を持つ行為であり、例外的な判断をする際も慎重さが求められます。

 

【参考】

  • サイバー攻撃被害に係る情報の共有・公表ガイダンス

 https://www.meti.go.jp/press/2022/03/20230308006/20230308006.html

 

  • 情報セキュリティ事故対応アワード

  (主催:情報セキュリティ事故対応アワード実行委員会 / 後援:経済産業省、総務省)

 https://news.mynavi.jp/techplus/tag/secaward/

 セキュリティ事故発生後の対応が素晴らしかった企業を表彰する年次イベントです。昨年は6月に開催されました。

 表彰理由や当時の対応内容等、参考にできる情報が多く、おすすめです。
 

bottom of page