事実確認も不十分で、事業復旧にもメドが立たない状況でも(いや、だからこそ)対外情報発信が重要になる。これについては、想定している危機が各パネリストの間でも相違があるのか、少々異なる意見が出た。
・基本は保守的に、最重要顧客など特別な相手には可能な限り状況を説明。
・確認できたことは、可能な限り公表。個別問い合わせにもメディアにも。
全員が一致していたのは、情報発信地点は一つに限定すること。本社の役員はこう言っているのに、現地子会社はメディアに別の何かを漏らしたなどということが無いようにしなくてはいけない。まあ、これはそれ自体難しいことなのだが。
当局への報告はとの問いには、通常メディア等と横並びでいいという意見が多かった。通常というのは、例えば犯罪捜査への協力などでは、より深い情報を出すこともあり得るという意味だ。また、メディア等に「もっと情報を出せ」と迫られたときに、「捜査中なので・・・」と言い逃れる手段もあるという話も出た。この手段は日本政府もよく使っているから、企業広報も熟知しているとは思う。
そしてハッカー集団との交渉だが、もちろん焦点は身代金。支払い自身が犯罪となる可能性は低いとはいえ、犯罪集団にカネを渡して再犯の資金とさせたり、犯罪自体を助長することもあって、間接的な反社会行為との批判はあり得る。一方でカネを払ったところで本当に復旧できるのか、データは握られたままだから再度の脅迫はないのか、有無を言わせず暴露されないのか、という危惧もある。
従って「払うべきか/払わないべきか」は、簡単に結論の出せる命題ではない。パネリストの意見としては「なるべく引き延ばすこと」が多かったように思う。具体的に何を待つというよりも、時間の経過とともにおきる状況の変化を見極めて、少しでも有利な展開にできるか可能性に賭けるということだろう。
ただこれはリアル世界での身代金目的誘拐事件とは、多少状況が異なる。誘拐事件では時間が経てば、人質は犯人側の負担となってくる。あっさり殺してしまえばともかく、逃げられないようにし世話もしなくてはいけない。しかしサイバー空間での犯罪では、人質に手はかからない。むしろ長引いて「企業の信頼」を損ねるレピュテーションリスクが増すことを、被害者側が負うようにも思う。
<続く>
