セキュリティインシデント対応の悪いお手本

またECサイトで個人情報流出したそうな。

したそうな、とか他人事みたいに言ってるけど問題のショップはよく利用していたので一応被害者だったりもする。
なので珍しく個人的にセキュリティ関連のネタを追いかけ中。
公表から1日余り経って問い合わせもたくさん寄せられたらしくFAQの内容などが更新されている。

事後対応がかなりまずいので多くのユーザーを不快な気持ちにさせているようだ。
ナチュラムのユーザーが集まるナチュラム運営のブログサービスにもいろいろ書かれている。

自分が特にまずいと思ったのは以下の二点。

  • 公表が遅すぎた
  • お詫びの内容が5%オフセール
公表が遅すぎた

公表までの経過は以下のページにて。

整理すると次のような感じ。

  • 7/09 カード会社より調査依頼
  • 7/10 不正アクセスの痕跡確認
  • 7/18 不正アクセスで個人情報が閲覧された痕跡を確認 ただし被害範囲未特定
  • 7/22 セキュリティ対策の改善が完了
  • 7/23 多数の問い合わせが予想されるため体制作り開始
  • 7/28 流出可能性のある範囲を特定
  • 8/06 公表

対策完了まで発表しないのはわかるが、問い合わせに対する体制作りとか悠長すぎる。巧遅の悪い例。

「公表を早めたところで被害が拡大するわけではないので万全の体制を」とか冷静に判断したのかもしれないけど、こういうケースの場合は公表が遅れるほどにお客さんの信用をなくすと考えて焦燥感を持つのが正しいんじゃないだろうか。
運営側の内情とか事件の本質をお客さんがきちんと理解してくれるとか期待するのは間違い。

あと電話してくるユーザーなんて全ユーザーに比べたらそんなにいないだろう。
仮に準備不足で電話がパンクしたって公表を遅くして全ユーザーの心象を悪くするよりいいと思うんだけど。

お詫びの内容が5%オフセール

不祥事をネタに商売する気なのかととらえられる内容。
この内容に関する疑問の問い合わせが多数届いていても対応を翻すつもりはないようだ。

しかしお詫びを受け取るためには買わないといけないってこれ。
こういうケースのお詫びをいったいどういう形にしたらいいのかと言われると難しいところだと思うけど、少なくともこんなお詫びならない方がずっとマシだと思う。

「自分たち中での合理的な判断」よりも「ユーザーからどう受け止められるか」という点にフォーカスしてもっとしっかり考えるべきじゃないかな。
もちろんどんな対応をしても文句を言ってくるユーザーはいるので、そこらへんは適当に塩梅して。

まとめ

今回の件の感想を一言で言うと「きれいにまとめようとして返って墓穴を掘ってるかんじ」ですな。

それにしても公表前の不自然な株価下落とか子会社化とかきな臭い話も出てきたりしていてこの会社大丈夫なのかと不安になってきた。

追記 2008/08/15

まとめWikiができている模様。