新型iPhone紛失に見るリアクティブな対応

海外で新型iPhoneが紛失により明るみに出てしまうというニュースがありました。

オルタナティブブログでも大木さん、新倉さんがご紹介です。

『次世代iPhoneが非公式にお披露目になった件で、ちょっと考えた：「走れ！プロジェクトマネージャー！」：ITmedia オルタナティブ・ブログ』 http://blogs.itmedia.co.jp/tooki/2010/04/iphone-e317.html

『アップルの情報管理から推測すれば、新型iPhoneを落とすことはあり得ないだろうと勝手に想像した「新しいリークの手法」：新倉茂彦の情報セキュリティAtoZ：ITmedia オルタナティブ・ブログ』 http://blogs.itmedia.co.jp/niikura/2010/04/iphone-c597.html

私の意見も新倉さんと同じで、Appleのような企業であれば新型iPhoneが外に出てしまうことはないのではないかと思います。厳重で知られるAppleの情報管理体制では発売前の製品の情報が漏れ出ることはとても珍しいことであるように思います。

一方で世の多くの企業はそれほど厳重な情報管理体制を強いていません。企業の秘密情報というと

• 個人情報
• 営業上の秘密（得意先、原価構成、新製品や製法ノウハウなど）
• ITインフラに関する秘密情報（パスワードや暗号の鍵）

あたりが思い浮かびます。ISMSなどを取得して情報の管理体制を整えている企業では、これらを情報資産として認識し、漏洩時のリスクを評価して対応策をとっていることでしょう。重要な情報は施錠管理、超重要な情報は指紋認証、世の中に存在してはいけないはずの情報は役員の頭の中、などなどです。

さて上の情報は2つに整理することができます。1つは作戦（オペレーション）として必要な情報です。これには個人情報とITインフラに関する秘密情報などが該当します。もう1つには企業の戦略、戦術として必要な情報です。これには残る営業上の秘密の新製品や製法ノウハウなどに関する情報が入ります。

これらは漏洩の際の対応策が異なります。

オペレーションとして必要な情報であれば影響範囲を調査した上で、ある程度事前に想定していた対応策を遂行できるはずです。個人情報であれば情報を回収し、漏洩対象範囲を調べ、謝罪し、犯人を調べつつ、再発防止策を取るというようになるでしょう。

しかし戦略、戦術として必要な情報が漏れてしまった場合はそういうわけにはいきません。得意先がバレればそこに攻勢をかけられるかもしれませんし、原価構成がバレれば原材料の供給元にライバルが値下げ交渉を持ちかけたりするかもしれません。

この後者のようなリアクティブな対応を取るためには組織内から情報を一気に集め、陣頭指揮を取る部署で集中的に対応を下していくという方式が向いています。情報漏えいとは関係がありませんが、食品の不祥事などで食品メーカーが取る対応はまさしくこの形態になることが多く、先のUCCのTwitterに関する一件では普段からこのような体制が整えられていたことが遺憾なく発揮されたように感じました。

一般の企業ではむしろプロアクティブな情報漏えい対策になっており、事前から対応策を周知しておいて有事にはマニュアル通りに対応していくことが中心になっているように思います。もしそういった体制に偏った企業であれば、今回Appleが新型iPhone紛失の事件で対応したように「いきなりマスコミリークで紛失を知る。しかも新商品。」という逆境を「遠隔から動きを止めてすぐさま回収分を送りつける」と乗り越えようとすることは難しかったのではないかと思います。もし事前にそういったことまで想定しようとすると膨大なケースを考えなくてはならず大変です。

「うちの会社の情報漏えい対策部署は平時から漏洩時の即応マニュアルを作ったり情報漏えい防止規定を作ったりは熱心だが、本当に大規模な事象が発生したときに指揮を取れるメンバーがいるとは思えない」という会社にとっては今回の事例は見習うところが多そうです。Appleが内部でどのように対応を行ったか知りたいところですが、リアクティブな対応のうまさに負けないほどプロアクティブな体制整備を行っていることでしょうから知るのは難しそうです。

ちなみに。ちょっと毛色の異なる情報としてインサイダー情報というのもあります。ここ数年内に何件か報道関係の人がインサイダー取引で有罪になっていたかと思いますので今回の新型iPhoneの件もそちらの方面でなにか良からぬ動きがなかったかどうか気になるところです。