質問

2007年10月16日 02時36分
  • 取引先の会社が情報漏洩したと連絡してきました

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

つい二日前に、取引先の会社から、「弊社の社員が会社所有の個人情報を自宅に持ち帰って、ファイル交換ソフトを利用して、外部に数万件の個人情報を流出したが、貴社の情報は漏れていないので、安心してください」というような連絡をうけましたが、これはどうしたものかと思ってます。
細かくどこの情報をどれだけ漏洩したのかわからないために、わが社のデータは大丈夫ですと言われても、そりゃあ一安心、と言えるのでしょうか?実際のところ数年前に、関連のありそうな業務を委託したこともあり、かなり心配です。

この場合、
1.その企業の担当者を信じて何もしない
2.やはりどこまで漏洩したのか徹底的に追求する
3.その他(何かありますか?)

いかがでしょうか?

2件の回答があります

回答

会社によってセキュリティーインシデントの対応方法は、様々と思われますので、正解は無い質問と思います。
まずは、会社のセキュリティーに関する規定があるでしょうから、その規定に則した対応を取れば良いのではないでしょか。
規定がなけば、会社のCIOやCSOまたは、それに該当すると思われる役職の方に、marotabiさんより報告を上げ指示を仰げば良いと思います。その際に、今回のインシデントによる会社への影響や心配、不安を、自分の思うところで構わないので、伝えるべきと思います。

回答

私だったら「安心してください」と言われるほうが「そんなに簡単に言い切るとはスキルが不足しているのではないか」と返って不安になります。

これを機会に「御社ではどのようなセキュリティ対策を取られているのか教えてください」と言っておしえてもらいましょう。
その回答によっては
「なにもやっていないのではダメじゃないですか」 から
「そこまでやられていての事であれば仕方ありませんね」までの
いろいろな追求ができるでしょう。
どのようなデータが漏れたのか(何が漏れたかがわからなくても どのデータが入っていたか はわかるのですから 本当に「貴社の情報はない」のかどうかは確認しておいたほうがいいでしょう。
ただし あまり深い追求はしないことです。 「わかった範囲ではこうでした」というところで納得しておくこと。(時々いるのですよ「それじゃ、わからない範囲に何があったかわからないじゃないか」と言う人。)

2007年10月19日 19時02分