こんにちは。弁護士の浅見隆行です。
2023年6月5日に人事労務関係のクラウドサービスを提供しているエムケイシステムのサーバーがランサムウェアの被害を受け、2023年6月22日現在も復旧作業は続いています。
この件に関して6月15日にクラウド利用者側の危機管理について書きました。今日はクラウドサービスを提供している側の危機管理、その中でも危機管理広報について書きます。
マメな情報開示
エムケイシステムが提供しているクラウドサービスのうち、社会保険労務士向けに提供している「社労夢」は国内トップシェアで、2023年4月1日現在、利用している社労士事務所は2754事業所、管理事務所は57万事業所に達するようです。
サービスを利用している社労士事務所や会社の中には、独自に、顧客向けに被害状況を情報発信しているところもあります。
エムケイシステムのサーバーに障害が発生したことで、二次被害・迷惑を受けている利用者がこれだけ多く存在するということは、同時に、サーバーの復旧状況に関心を持っている利用者はこれ以上に多く存在し、さらに個人情報の漏えいに不安を抱いている者はもっと多く存在する(サービスを利用している事業所の顧客数・会社の従業員数の分だけ存在する)ことを意味します。
そうだとすると、エムケイシステムは、サービスの利用者への関心に応え、信頼を回復し、個人情報の漏えいに不安を抱いている者の不安を払拭するための情報発信をマメにする必要があります。
エムケイシステムの公式サイトを見ると、下記スクショのとおり、トップページの「IR NEWS」に「ランサムウェア感染被害への対応状況」、「NEWS」に「お詫びと状況の報告」を複数回掲載しているので、マメに情報発信しているように見られます。
上場会社としての開示と危機管理広報が混在
専用ページを作った方がよい
エムケイシステムはマメに情報発信していますが、情報の受け手に対して親切な情報発信の仕方ではありません。
というのは、情報発信が「NEWS」と「IR NEWS」の両方に分かれて掲載されているので、情報の受け手はどちらを見たら良いかがわからないからです。
情報の受け手に親切にするなら、発信した情報を一覧できる専用ページを設けた方がよいと思います。
もちろん、すべての案件で専用ページを作る必要はありません。
しかし、これだけ報道で多く取り上げられ注目を集め、関心を持つ事業所・会社、不安を抱いている者が多数存在し、リスクが解消するまでに長期化が見込まれるケースでは、なおさら専用ページの存在の必要性はあります。
2022年に尼崎市の全市民46万人分の個人情報を記録したUSBメモリを業務を受託したBIPROGYの再々委託先の従業員が紛失したケースでは、尼崎市は専用ページに情報を集約しています。
それ以外の会社の例についても、以前の投稿で紹介していますので、そちらを見てみてください。
上場会社としての開示と危機管理広報の混在
専用ページを作る発想に至らずに、情報の発信元が「NEWS」と「IR NEWS」とバラバラになってしまうのはなぜでしょうか?
それは、上場会社としての開示と危機管理広報とが混在しているからです。
これはエムケイシステムに限った話しではありません。
不正・不祥事を起こした会社の多くが「上場会社として金商法上義務づけられている開示を行ったから、それで危機管理の情報発信もしている」などと誤解している、あるいはそもそも何も理解できていない点です。
上場会社に義務づけられている開示は、投資家・株主に向けて、株価の変動に影響する事象の存在を情報発信するものです。
- 情報を受け取る相手は投資家・株主です。
- その目的は株価の変動に影響する事象の存在を知らせ、株式の売買の判断材料を提供することにあります。
これに対し、危機管理広報は、消費者・取引先(エムケイシステムならサービス利用者、登録されている個人)や世の中の人たちに情報を発信し、会社の信頼・信用を維持・回復する、不安を払拭するために情報を発信するものです。
- 情報を受け取る相手は消費者・取引先・世の中の人たちです。
- その目的は会社の信頼・信用を維持・回復する、不安を払拭するための情報を提供することにあります。
上場会社としての開示と危機管理広報とは情報を受け取る相手も目的も違います。
そのため、上場会社としての開示をしたとしても危機管理広報は別に行うべきものです。
これは開示と危機管理広報で同じ内容の情報発信を二度するという意味ではなく、開示した情報を危機管理広報用としても流用するなら、危機管理広報として整理すべきということを意味します。
すなわち、危機管理広報用の専用ページが必要ということです。
危機管理広報用の専用ページが秀逸だった神戸製鋼
例えば、2018年に明らかになった神戸製鋼の品質不適切事案では、
- 専用ページを設置し、各種情報を整理して掲載する
- 「発表情報一覧」をクリックするとすべての情報発信を一覧で見るページに飛ぶ
- 「品質不適切行為に関する報告書」「外部調査委員会による調査結果」「安全性検証の進捗状況」などサイトを訪問した者の関心が高い情報については、一覧に掲載するだけではなく、ブロックメニューから直接情報にアクセスできる
などの工夫が施されています。
これは危機管理広報で情報を受け取る相手が誰か、目的は何かを理解した対応だと思います。
公式サイトのトップページの見た目
エムケイシステムの情報発信では、もう1つ、配慮すべき箇所があります。それは公式サイトのトップページです。
エムケイシステムのサーバーは6月21日時点で、まだ障害が完了していません。
それなのに、公式サイトのトップページで、映像を駆使して、障害が残り稼動が不安定なサービスの宣伝を継続しています。
これもまたサイトを見ている人からの信頼を失わせるおそれがあります。
- 障害から完全復旧するまでは、読み込みが遅くなる映像を利用した部分はやめ、テキストだけのサイトにしておく
- 障害から完全復旧するまでは、障害が残り稼動が不安定なサービスの宣伝は中断する
などの配慮はしておくべきでしょう。
その後の危機管理対応
※この項目は2023年6月29日に追記しました。
エムケイシステムは、2023年6月28日付でセキュリティ調査に関する報告書を、クラウドサービスの利用者向けに送付しました。当事務所も、お願いしている社労士事務所経由で受け取りました。
その内容は、発生事象、初期検知・初動対応、保全対象機器(侵害可能性のある機器、侵害されたサーバ)、状況把握と被害状況、侵害状況の概要、情報漏洩の有無、再発防止策の7項目から構成されています。
調査報告書を関係者に送付するのは、危機管理広報の対応としては良いと思います。
他方で、同書面には冒頭で「本書面の取り扱いには充分注意頂き、関係者以外には一切漏洩することがないよう、厳密な管理をお願い申し上げます。」などと注意書きがされています。
危機管理広報としては、ありえない対応です。
「この期に及んで、隠蔽したいのか」との印象を抱かせるもので、注意書きをするくらいなら送付しない方がよいです。
そもそも公表に差し支えがある内容を含んでいるなら、情報管理の観点からは、公表できる範囲の情報を記載したものを送付すべきです(読みましたが、公表する差し支えのある内容とは思えませんでした)。
危機管理としても情報管理としてもチグハグな感が否めません。
まとめ
上場会社としての開示と危機管理広報とは目的と発信すべき情報が異なります。「開示をしたから危機管理広報ができている」などと誤解しないようにして下さい。
