サイバーインシデントに関する記者会見実施事例からみる国内企業の傾向

はじめに

近年、サイバーインシデント発生時の対外公表の基準を見直す企業が増加傾向にあります。中でも、記者会見実施は、法的義務が存在しないことから、各企業の判断に委ねられており、「どのような状況時に実施すべきか」という悩みの声が多く寄せられるようになりました。実際に、過去10年を振り返るとサイバーインシデントに関する記者会見を実施する企業が確認されており、それらの多くは今なお動画配信サイトで当時の記者会見がノーカットで閲覧可能な状況にあります。

さらに、記者会見の開催を決断した後も、限られた時間の中で準備を整え、当日の説明内容を取りまとめる必要があるため、平時から判断基準・準備体制・説明内容の骨格を整備しておくことが重要です。

本稿では、国内企業のサイバーセキュリティ責任者（CISO含む）や危機広報責任者、有事の際に設置される危機管理対策本部の委員などが、サイバーインシデント時の対外公表（特に記者会見実施）の方針を検討する際の参考となるよう、過去の主な国内記者会見事例を分析した結果を踏まえ、以下の3点について解説します。

1. 記者会見実施の意思決定フロー（記者会見は実施すべきか）
2. 記者会見実施までに完了しておくべき主な作業タスク（記者会見実施前に何をすべきか）
3. 記者会見の冒頭説明における主な内容（記者会見当日、何を説明すべきか）

1.記者会見実施の意思決定フロー

サイバーインシデント発生時の記者会見実施の意思決定はどのようになされているのでしょうか。一般的なサイバーインシデント発生時の公表判定フローに、事例調査結果を照らし合わせたフロー図（図表1）を紹介します。

図表1：一般的なサイバーインシデント公表判定の流れ（記者会見実施の意思決定）

記者会見を含む対外公表に関する意思決定フロー

サイバーインシデント発生・報告を受けた企業は、危機レベルの判定（企業によっては重大インシデントの判定）を行い、危機（または重大インシデント）と判断した場合、緊急対策本部を立ち上げます。そして、【公表の一次判定】として、「①公表を見送り」「②プレスリリースのみ発行」「③緊急記者会見の実施およびプレスリリースの発行」の意思決定を行います。なお、当社が独自に収集したインシデントデータの分析結果によると、サイバーインシデント発生時の一次判定で、企業は①または②を選択する傾向にあり、③の緊急記者会見に至るケースは限定的であることが確認されています。

一次判定で「②プレスリリースのみ発行」を選択した企業は、経過観察し、【二次判定】として、原因究明や被害範囲の特定、世論の評価、消費者や株主等に対する復旧状況説明や経営者の説明責任を対外的に示す必要性などを総合的に判断し、記者会見実施の必要性有無を意思決定します。記者会見が不要な場合「②-1プレスリリースのみで終息」し、記者会見実施が必要であると判断した場合「②-2記者会見＋プレスリリースで終息」します。なお、②-2については、記者会見実施後も複数回にわたりプレスリリースを発行する企業も確認されています。

一次判定で「③緊急記者会見の実施およびプレスリリースの発行」を選択した企業は、緊急記者会見実施（事象検知当日）と同時にプレスリリースを発行しますが、プレスリリースのタイミングは企業ごとの判断となり、翌日となるケースも確認されています。その後は②と同様に経過観察し、【二次判定】として、必要に応じて、再度記者会見（③-1）の実施を意思決定します。なお、③緊急記者会見を実施した企業の中には、後続の記者会見を複数回実施する企業も確認されています。

記者会見に至るケースは全体の一部に限られます。記者会見を「開く／開かない」の判断基準を平時から明文化しておくことが、有事の迅速な意思決定につながります。

2.記者会見実施までに完了しておくべき主な作業タスク

第1章で示した意思決定フローに基づき記者会見の実施を決定した場合、限られた時間の中でどのような準備作業を完了させる必要があるのでしょうか。過去事例から、記者会見実施企業が会見前に完了していた作業タスクの傾向を分析しました。

分析にあたっては、記者会見の実施タイミングを軸として以下の3パターンに分類しました。

• 【1】緊急記者会見実施パターン（事象検知当日に記者会見を実施）
• 【2】迅速な記者会見実施パターン（事象検知から数日以内に記者会見を実施）
• 【3】記者会見実施パターン（事象検知から数カ月〜半年後に記者会見を実施）

傾向分析の結果は図表2のとおりです。

図表2：記者会見事例からみる会見前に完了していた作業タスク

【1】緊急記者会見実施パターン

「国民生活への直接的な実被害の確認」がなされた場合に記者会見が開かれており、その他の初動対応等は必須条件とはなっていないことが見受けられます。ITシステム障害発生時の緊急記者会見のように、いかに多くの関係者に対し、「注意喚起」として、早く広くサービス・システムが不能であることを伝える必要がある場合に実施されていると言えます。

【2】迅速な記者会見実施パターン

「当該被害をさらに発生させない初動対応の実施（ネットワーク遮断、サービス停止等）」「被害顧客への補償方針の決定」「必要に応じて、所管省庁への一次報告を完了する」といった作業タスクを経て会見が実施されています。インシデント発生から数日の対応時間を確保できる場合、少なくとも「当該被害をさらに発生させない初動対応の実施」を完了した上で記者会見に臨むことが、過去の事例から導かれる最低限の要件と言えます。

【3】記者会見実施パターン

おおよそのサイバーインシデントに関する調査が完了し、被害範囲の特定や所管省庁への報告を終えてから会見を実施している企業がほとんどであったことが確認されました。

事象発生から数カ月など一定時間を要した後に記者会見を実施するケースでは、「調査概要」「被害範囲」「所管省庁への報告」など、説明責任を果たすのに十分な情報がそろった状態で記者会見に臨むことが求められます。

このように、記者会見実施タイミング（検知後当日、数日以内、数カ月以降）によって、会見前に完了すべき作業タスクは異なります。企業が受ける影響の程度は、実際攻撃を受けるまで推測の域を超えません。このため、企業にとって、平時からさまざまなケースを想定した記者会見実施タイミング別のタスクチェックリストを整備しておくことは有効です。

3.記者会見の冒頭説明における主な内容

第2章で示した作業タスクを完了し記者会見に臨む際、当日の冒頭説明ではどのような内容が話されるのでしょうか。

サイバーインシデントの記者会見では、責任者の謝罪の後、約10分程度の責任者による説明があり、その後、記者からの質問を受け付けるといった流れが多く、責任者からの説明（冒頭説明）では大きく「会社の姿勢」「攻撃・被害の概要」「対応状況」「今後の対応」「ビジネスへの影響」が説明されていることが分かりました（図表3）。

図表3：記者会見の冒頭説明における主な内容の内訳

記者会見は、謝罪にとどまらず、消費者・株主・社会に向けた「情報開示と信頼回復の場（ブランディング／ロイヤルティ維持含む）」として位置付けられることが多く、適切に設計する必要があります。事前に危機対策本部委員等関係者内で合意された説明骨子を準備しておくことが求められます。

国内企業の記者会見実施傾向に関する分析結果

ここまでの主要なサイバーインシデント発生時に実施された記者会見の傾向から、記者会見実施にあたっての分析結果を以下に示します。

記者会見実施の判断ポイント

• 多くのサイバーインシデントにおいて企業はプレスリリースのみで対応する傾向にあり、記者会見に至るケースは限定的であることが確認された。
• 記者会見の実施判断は、プレスリリースによる一次公表の判断と連動して行われているケースが多く見られた。
• 国民のライフラインへの影響が「危機的状況」にある場合、ITシステム障害時の記者会見と同様、記者会見は不特定多数の国民・消費者へ「注意喚起」を伝達する手段として活用されている傾向が確認された。

記者会見実施前に完了すべき準備のポイント

• 緊急記者会見（当日）は「注意喚起」を目的に実施される傾向があり、他の準備タスク完了を待たず開催されるケースが確認された。
• 数日以内の会見では、少なくとも「初動対応（被害拡大防止）」の完了が共通条件として確認された。
• 数カ月後の会見では、調査完了・被害範囲の特定・所管省庁への報告が完了している企業がほとんどであることが確認された。

記者会見当日の説明において不足しがちな内容

• 「被害範囲」「普及状況／サービス再開状況」「資金繰り・決済関連」は、他項目と比較して説明頻度が低い傾向が確認された。
• 特に「資金繰り・決済関連」は、上場企業においても説明頻度が低いことが確認された。

経営層のセキュリティガバナンスへの関与の重要性

• 経営者として、サイバーセキュリティ対策は十分だったと認識していたかを問われることがある。今後の記者会見でも聞かれる可能性が高い項目と言える。

推奨事項―有事の対外公表に向けて国内企業が取り組むべき、事前の備え―

本調査の結果から、サイバーインシデント発生時の対外公表に備え、国内企業が平時から取り組むべき対応の方向性を以下に示します。

平時の判断基準・体制の整備

• サイバーセキュリティ責任者（CISO含む）、広報担当者（危機管理広報）、経営層を含む危機対策本部委員が連携し、平時から「どの条件で記者会見を開くか」「プレスリリースのみで対応するか」の判断基準を明文化しておくこと。
• 公表可否の判断を迅速に下せるよう、重大インシデント発生時の緊急対策委員会では広報担当者（危機管理広報）も招集される体制を構築しておくこと。
• 緊急対策委員会では、利害関係者への対応窓口責任者として、営業責任者も招集される体制を構築。これにより、どの利害関係者（取引先）にどのタイミングでどの情報まで共有してよいかの整理、ならびにその後発生しうる補償の方針を議論しやすい状況を作っておくこと。

実施タイミング別の事前準備・体制の整備

• 記者会見の実施タイミング（緊急・数日以内・数カ月後）ごとに、完了すべき最低限の作業タスクを平時から社内で定義し、チェックリストとして整備しておくこと。
• 緊急記者会見に備え、初動対応（ネットワーク遮断・サービス停止等）の手順と、記者会見開催の可否判断が連動する体制を整えておくこと。

記者会見当日の説明内容の充実

• 記者会見を実施する場合は、謝罪・事実説明にとどまらず、利用者保護のための注意喚起、事業・サービス復旧の見通し、上場企業においては資金繰り・決済への影響についても説明骨子を事前に準備しておくこと。

経営層のセキュリティガバナンスへの主体的関与

• 経営者は、サイバーインシデント発生時に「平時のセキュリティ対策が十分だったか」を問われることを十分に認識し、日頃から組織のセキュリティ方針・施策・予算に対してリーダーシップを発揮すること。
• 企業のセキュリティガバナンスへの関与を社内外に示せるよう、トップダウンでセキュリティリスク文化を醸成し、有事における説明責任を果たせる状態を平時から維持しておくこと。