3つの情報漏えい事件、批判の温度差はなぜ？--失敗に学ぶ事故対応

　情報漏えいがあった米信用情報会社Equifaxが報道で袋叩きにされている一方、米証券取引委員会（SEC）の漏えいがそれほど騒がれていないのはなぜだろうか。調査会社Forrester Researchは、Equifax、SEC、Deloitteの情報漏えいについて考察した。

Equifaxは報道で袋叩き。一方でSECの情報漏えいがそれほど騒がれていない理由は？

　Equifaxの主な事業はB2Bだが、盗まれた情報は一般消費者のデータだった。それに加えEquifaxの事例では、普通では考えられないほどの問題対応が続いた。これには、一貫性のない発表、ユーザーに自社サービスへの登録を求める、ニューヨーク州のEric Schneiderman司法長官から問題を指摘された利用許諾契約関連の失態、同じグループから過去にもハッキングを受けていた事実が発覚したこと、セキュリティ研究者が作成した別ドメインのウェブサイトにユーザーを誘導したことなどが含まれる。

　Equifaxが袋叩きに遭っているのは不思議ではないし、おかしなこととも言えない。

　SECの情報漏えいに対する反応が生温い理由は、煎じ詰めれば次の2つだと言えるかも知れない。

• SECから盗まれたのは企業の情報だった。もちろん被害者が存在しないわけではないのだが、SECの事件によって、一般消費者がクレジットカードの請求を見て、慌ててカードを凍結しなければならないような事態は起きなかった。SECの情報漏えいで日常生活に影響を被った一般市民はほとんどいなかった。3社のクレジットカード会社と延々と電話で話したり、ウェブでクレジット監視サービスに申し込む必要もなかった。
• 発表がより大きな情報漏えいの影に隠れた。インシデント対応や、広報、クライシスコミュニケーションなどの世界では常識なのだが、より規模が大きく、より影響が広く、よりセンセーショナルな情報漏えいに発表のタイミングを合わせると、世間からの注目を最低限に抑えやすい。SECが情報漏えいについて発表する際に、そのようなことを意識していたことを示す情報はないが、Equifaxが失態を犯し続けたことが、SECの不利に働くことがなかったのは確かだ。

これらの事件は何を意味しているのか？ハッキングがトレンドになっているのか？Deloitteの事例の位置づけは？

　一般にハッキングをトレンドと呼ぶのは難しい。ハッカーはハッキングをするものだ。強いて言えば一連の事件は、悪名高い銀行強盗であるウィリー・サットンの「なぜならそこに金があるからだ」という発言が、21世紀になっても通用していることを証明していると言える。ハッカーは企業と同じように、デジタル変革やデータ経済に適応しているが、そのことはハッカーが世界4大監査法人の1つであるDeloitteの、何をどのように攻撃したかを見ても分かる。