この「海外子会社の事案」という設定が問題を難しくするのだが、実際によく起きる／起きやすいケースであることは確かだ。M&Aで入手した子会社なら、経営感覚もIT基盤も全く別物からのスタート。統合を目指していたとしても、必ずスキは残る。現地に設立した子会社なら、十分なリソース（特にデジタル関連で）を投入することは難しい。どちらのケースでも、ガバナンス＆セキュリティは本社や国内事業所よりは甘くなり、ハッカーはそこを狙ってくる。

 

　パネリストたちが口をそろえて指摘するのが、

 

・時差や言語の問題で、社内コミュニケーションが遅れがちになる。

・もともと本社のスタッフと現地の責任者や部署との連携が薄い。

・本社の統制が行き届かないパス（現地メディア等）があって、事案が漏れやすい。

 

　という点。このシナリオでは現地子会社からのワーニングの後、本社に脅迫が来るようになっているが、現実には本社が海外メディア等から最初に通報を受け慌てて調べたらそうだったということもあった。

 

　　　　 

 

　そんな困難の中で、経営者は、危機管理担当役員はどう行動すべきなのか？まず一番重要なのは「企業としての信頼」を壊さないように努力することらしい。目の前の戦術的な課題に振り回される前に、危機管理にあたる全員にそれを徹底しなくてはいけない。これには全パネリストが異論をはさまなかった。

 

　次に考えるべきことは、事実確認・事業復旧・対外情報発信のバランスをいかにとっていくかということ。一般にどの業務（システム）が停止しているかは分かっても、どの情報が窃取されたかは、簡単には特定できない。何が漏れ、それはどのようなリスクを伴うのか、その事実確認は絶対に必要だ。

 

　そして事業復旧。さきごろのコロニアル・パイプライン社の事件では、ハッカー側に身代金を支払うことなしに復旧は出来なかった。そう簡単に復旧できるはずもないのだが、まずは限定的にでもシステム復旧が可能かはやってみるべきだ。

 

　さらに対外情報発信、ある意味これが一番難しいかもしれない。これに失敗して「企業としての信頼」を失墜させた例は少なくない。サイバー攻撃ばかりではないが、システムダウンの危機管理を失敗し、メディアに叩かれてクビになったCEOは急増している。

 

＜続く＞