危機対応から見たソニーの個人情報流出事件：Weekly Memo

全世界に衝撃が走ったソニーグループのオンラインサービスをめぐる個人情報流出事件を、危機対応の観点から考察してみたい。

求められる情報を守るためのBCP策定

　ソニーグループのオンラインサービスをめぐる個人情報流出事件が、全世界に大きな衝撃を与えている。

　事件が明らかになったのは、ソニーが4月27日（米国時間26日）、同社のゲームや映画などのオンラインサービスに外部から不正アクセスがあったと発表したのが発端だ。

　不正アクセスを受けたのは、ゲーム子会社ソニー・コンピュータエンタテインメント（SCE）が運営するゲーム配信サービス「PlayStation Network（PSN）」）と映像・音楽配信サービス「Qriocity」。全世界で約7700万件の利用者の個人情報が流出した恐れがあるとした。

　さらにソニーは5月3日、米子会社Sony Online Entertainment（SOE）が運営するゲーム配信サービスでも約2460万件の個人情報が流出した恐れがあると発表。合計で1億件超に及ぶ個人情報には、名前や住所のほか、クレジットカード番号も含まれており、史上最大の流出規模となった今回の事件は、実際の被害がどれだけ出てくるか予断を許さない状況となっている。

　なぜ、この事件が起こったのか。その背景については、「誰が、なぜ？ 史上最悪規模・ソニー個人情報流出事件を時系列順に整理」をはじめとした関連記事を参照いただくとして、ここでは危機対応の観点から、この事件を通じて筆者が非常に重要だと感じた点を2つ挙げておきたい。

　1つは、情報セキュリティへのしっかりとした対応である。ソニーによると、今回の不正アクセスは、オンラインサービスに使用しているサーバのソフトウェアの脆弱性（欠陥）を突かれたものだという。ただ、その欠陥は既知のもので修正可能だったが、ソニー側がその欠陥自体を認識していなかった。この点については、セキュリティ対応への基本的な姿勢を問われても仕方ないところだ。

　とはいえ、これはソニーグループだけにとどまらず、これからクラウドコンピューティングの利用へと向かう多くの企業にも言えることではないか。その根幹をなすのがオープンなネットワークである限り、意図的なサイバー攻撃に対して完璧な防御を行うのは難しい。

　ならば、サイバー攻撃に対する技術的な防備をしっかりと行う一方で、もし情報が流出した場合でもその被害を最小限に抑える手立てを考えておきたい。となると、それはシステム・ネットワークのあり方や情報管理の仕方に一層深くかかわってくる。情報を守るという観点からBCP（事業継続計画）の策定が必要になってくるだろう。

日本ブランドのイメージにつきまとうリスク

　もう1つは、情報開示をできる限り迅速に行うことである。今回の事件では、ソニーはPSNへの不正アクセスを4月19日に確認し、すぐにサービスを停止したが、発表は同27日だった。情報が流出していれば、その間も不正利用されている可能性がある。

　とくに、PSNの加入者数が日本を含むアジアの4倍に達する米国では、個人情報流出の恐れを発表するまでに約1週間かかったソニーの対応に追及の声が高まっている。同社によると、PSNへの不正アクセスを受けたのも米サンディエゴのデータセンターで、事件の背景からも舞台の中心は米国である。

　だが、PSNを運営するSCEの本社は日本にあり、米国でのサービス管理はSCEの米子会社が行っているものの、日米の間に反応の差があったのではないか、と指摘する声もある。

　PSNの個人情報流出に関する情報開示が遅れたことについてソニーは5月1日、平井一夫副社長が日本で会見して謝罪するとともに、「膨大なデータの分析に時間がかかってしまった。なるべく確度の高い情報を届けたかった」と理解を求めた。が、その後にSOEの情報流出が明らかになったこともあって、これで実害が発生すれば収まりがつかなくなりそうな深刻な事態となっている。

　今回の事件については、米議会も強い懸念を示している。さらにはホワイトハウスも強い関心を示し、米連邦捜査局（FBI）が米政府の対応を調整しているともいわれる。実害がないからといって軽く見てはいけない。未曽有の大事件である。米政府にはそうした認識が明確にあるようだ。

　こうした状況で最も心配なのは、ソニーも代表格の1つである“日本ブランド”への影響である。今回の一連の動きから思い出されるのは、トヨタ自動車の米国でのリコール騒ぎだ。急加速との関連が疑われた電子制御システムは最終的にシロと判定されたが、アクセル関連のリコールが遅れたと批判され、ブランドイメージは少なからず傷ついた。

　さらに今、世界中が日本ブランドそのものとして注視しているのは、東日本大震災で被害を受けた原発の放射能漏れなどに関する日本政府の情報開示に対する姿勢だ。日本政府の情報開示の遅れは一時、内外の不安や不信を増幅させた。原発事故への対応はまだまだ予断を許さない状況が続いているが、世界各国は今も日本政府の対応を注意深く見ている。

　こうしたことから、世界が見る日本ブランドにおいて今、最も気をつけなければならないのは、「情報開示が遅れた」と取られてしまうことではないだろうか。情報開示の遅れは隠ぺい体質と見られ、ひいてはアンフェアと取られて、ますます強い非難を受けることになる。日本ブランドのイメージには、そのリスクがつきまとっていることを強く認識すべきだと思う。

　ソニーの個人情報流出事件は、まだまだ現在進行形だ。ソニーは、より一層の真摯な説明と対応を尽くすことで信頼回復を図ってほしい。それが日本ブランドの信頼回復にもつながる。この事件はそれほど大きな出来事であると、重ねて強調しておきたい。

プロフィール 松岡功（まつおか・いさお）

ITジャーナリストとしてビジネス誌やメディアサイトなどに執筆中。1957年生まれ、大阪府出身。電波新聞社、日刊工業新聞社、コンピュータ・ニュース社（現BCN）などを経てフリーに。2003年10月より3年間、『月刊アイティセレクト』（アイティメディア発行）編集長を務める。（有）松岡編集企画 代表。主な著書は『サン・マイクロシステムズの戦略』（日刊工業新聞社、共著）、『新企業集団・NECグループ』（日本実業出版社）、『NTTドコモ リアルタイム・マネジメントへの挑戦』（日刊工業新聞社、共著）など。