第28話 データ侵害通知、鳴らない電話を待ちながら
- 山崎行政書士事務所
- 5月13日
- 読了時間: 15分
静岡市葵区、青葉通りから少し入った山崎行政書士事務所では、その日の午前、電話機が異様な存在感を放っていた。
黒い電話機である。 いつもそこにある。 いつも鳴る。 なのに今日は、誰もがその電話機を見ていた。
「鳴りますかね」
陽翔が言った。
「電話なので、鳴る可能性はあります」
悠真が淡々と返す。
「そういうことではなくて」
さくらは湯呑みを持ったまま、電話機を見つめていた。
「今日のお客様、個人情報漏えいの疑いがあるって……」
その言葉で、事務所の空気が少し引き締まった。
データ侵害。 漏えいの疑い。 報告。 本人通知。 委託先確認。 Azureログ。 社内外説明。
言葉だけでも、胃のあたりが固くなる。
香澄は深蒸し茶をそっと置いた。
「まずは、事実を確認すること。分からないことを分からないまま決めないこと。今日はそこからですね」
悠真は、すでにホワイトボードの前に立っていた。
白いボードの中央に、まっすぐな線を引く。
時系列表。
その文字だけで、少し空気が落ち着いた。
「悠真さん、もう表を作ってる」
陽翔が言った。
「電話を待っている時間にも、できることはあります」
「鳴らない電話を待ちながら、時系列表」
「詩にしないで」
奏汰がヘッドホンを首にかけたまま言った。
その瞬間。
電話が鳴った。
りりりりりん。
「来た!」
陽翔が立ち上がった。
「はい!」
さくらも立ち上がり、持っていたお茶が少し傾いた。
「さくらちゃん、湯呑み!」
あやのが叫ぶ。
さくらは慌てて戻そうとしたが、湯呑みの中のお茶は、小さな弧を描いてテーブルへ落ちた。
「ああっ!」
「一次対応、布巾!」
りなが叫ぶ。
「インシデントです!」
陽翔が言う。
「お茶です」
悠真が冷静に言った。
香澄が受話器を取った。
「はい、山崎行政書士事務所です」
全員が固唾をのむ。
「……はい。ええ。いつもありがとうございます。コピー用紙の納品ですね。はい、午後で大丈夫です」
香澄が受話器を置いた。
沈黙。
陽翔が静かに座った。
「コピー用紙でした」
「電話に過剰反応しすぎです」
悠真が言った。
さくらは布巾でお茶を拭きながら、小さく言った。
「私の初動対応、失敗しました」
「いいえ」
香澄は微笑んだ。
「被害範囲は限定的です。再発防止策は、緊張しているときに湯呑みを持って電話を待たないこと」
悠真がホワイトボードの隅に書いた。
教訓:湯呑みを持ったまま緊急電話を待たない。
「それ、正式な手順書に入りますか?」
陽翔が聞く。
「入りません」
悠真は即答した。
午前十時、入口の鈴が、からん、と鳴った。
入ってきたのは、地元の小売向けEC支援会社「駿河コマースリンク」の代表、戸倉社長。 その後ろには、情報システム担当の三浦、総務担当の杉本が続いていた。
三人とも、顔が硬い。
「山崎先生、急な相談ですみません」
戸倉社長は席に着くなり、深く頭を下げた。
「個人情報が漏えいしたかもしれません」
応接室の空気が、今度こそ本当に引き締まった。
香澄は穏やかに言った。
「まず、分かっていることから確認しましょう」
悠真がホワイトボードの時系列表に向かう。
「発覚した時刻からお願いします」
三浦がノートパソコンを開いた。
「昨日の十九時四十分ごろ、委託先のメール配信サービス会社から、“不審なAPI利用が検知された”と連絡がありました。弊社のEC顧客リストを連携しているサービスです」
「その後は?」
「二十時過ぎに、弊社側で管理画面を確認しました。ただ、誰が何をしたか分かるログがすぐには見つからなくて」
奏汰が顔を上げた。
「Azure側のログは?」
「EC基盤はAzureです。サインインログとアクティビティログはあります。ただ、メール配信サービス側の詳細ログは委託先に確認中です」
蓮斗は静かに頷いた。
「まず、Azure、委託先サービス、ECアプリの三つを分けましょう」
ホワイトボードに、りなが三つの箱を描いた。
Azure環境。 ECアプリ。 メール配信委託先。
悠真は時系列表を作り続ける。
十九時四十分 委託先から不審API利用の連絡。 二十時十分 自社で管理画面確認。 二十時三十分 該当APIキーを停止。 二十一時十五分 Azureサインインログ確認開始。 二十二時〇〇分 委託先に詳細ログ提出依頼。 本日十時 山崎事務所へ相談。
「該当APIキーは停止したんですね」
蓮斗が聞いた。
「はい」
三浦が頷く。
「ただ、停止前に顧客情報が取得された可能性があると言われています」
杉本が不安そうに言った。
「顧客情報には、名前、メールアドレス、購入履歴、一部の配送先情報が含まれます。クレジットカード情報は決済代行会社側なので、うちでは持っていません」
ふみかのピンクのクリップボードに、文字が走る。
氏名。 メールアドレス。 購入履歴。 配送先情報。 クレジットカード情報は自社非保持。 委託先。 APIキー。 不審利用。 本人通知。 報告要否。 社外説明。
陽翔は珍しく黙っていた。
しかし、電話機がまた鳴った。
りりりりりん。
「来た!」
今度は三浦まで少し立ち上がった。
さくらは湯呑みを持っていなかった。 学習していた。
香澄が受話器を取る。
「はい、山崎行政書士事務所です」
全員が見る。
「……はい。いえ、当事務所ではウォーターサーバーの新規契約は……はい、失礼いたします」
香澄が電話を置いた。
沈黙。
陽翔が小声で言った。
「水の営業でした」
奏汰が言った。
「今回の水は、漏えいしていません」
「うまいこと言わないでください」
さくらが少し笑った。
笑いは小さかった。 けれど、緊張で固まった応接室には、その小ささがちょうどよかった。
悠真は淡々と話を戻した。
「次に、分かっていること、分かっていないこと、推測を分けます」
ホワイトボードに三つの欄ができた。
分かっていること。 分かっていないこと。 推測。
「分かっていることは、委託先が不審なAPI利用を検知したこと。該当APIキーを停止したこと。顧客情報が含まれるサービスであること。クレジットカード情報は自社では保持していないこと」
杉本が頷く。
「はい」
「分かっていないことは、実際に個人情報が外部へ取得されたか。取得された場合、どの範囲か。原因がAPIキーの漏えいなのか、委託先側の設定なのか、自社環境の問題なのか」
三浦が小さく言った。
「そこが一番怖いです」
「推測は、まだ推測として扱います」
悠真はペンを置いた。
「危機対応で最初に大事なのは、事実と推測を混ぜないことです」
陽翔が静かにメモを取った。
「今日の悠真さん、冷静さが防火扉みたいです」
「比喩は不要です」
でも、誰も笑い飛ばさなかった。
その冷静さが、今の応接室には必要だった。
蓮斗はAzureログの確認に入った。
「まず、該当時間帯のサインインログを見ます。管理者アカウント、不審なIP、普段と違う国や地域、失敗したログイン、成功したログイン。次に、アクティビティログでAPIキーやシークレット、アプリ登録に変更がなかったかを確認します」
奏汰が続けた。
「ストレージやアプリ側のログも見ます。顧客データのエクスポート、API呼び出し回数、異常なアクセス元、時間帯。委託先からは、不審API利用の時刻、アクセス元、対象データ、レスポンス件数、検知理由をもらう必要があります」
三浦は、急いでメモを取る。
「委託先には、どんなふうに聞けばいいですか?」
かなえが契約書を開いた。
「その前に、委託先との契約を見ます。事故時の報告義務、ログ提出、再委託、調査協力、秘密保持がどう書かれているか確認しましょう」
契約書には、こうあった。
「情報セキュリティ上の問題が生じた場合、受託者は速やかに委託者へ報告するものとする。」
かなえの眼鏡が一ミリ下がった。
「“速やかに”だけですね」
陽翔が小さく言う。
「また便利だけど曖昧な言葉が」
「はい」
かなえは付箋を貼った。
「今回の調査では、まず詳細ログの提供、影響範囲、暫定対応、再発防止策、第三者や再委託先の関与有無を確認します。今後の契約では、報告期限、報告内容、ログ提出の範囲、緊急連絡先を具体化したほうがいいです」
戸倉社長が眉を寄せた。
「今は、契約の見直しより、とにかく報告をどうするかが不安です。誰に、いつ、何を報告すべきなのか……」
香澄はうなずいた。
「そこを整理しましょう。まず、外部への正式な報告や通知が必要かどうかを判断するためにも、事実確認が必要です。ただし、確認が終わるまで何もしない、というわけではありません」
しょうこがホワイトボードに書いた。
報告・通知の整理 一、社内の誰に共有するか。 二、委託先へ何を確認するか。 三、監督機関等への報告要否を検討するか。 四、本人通知が必要か検討するか。 五、取引先・関係先へ何を説明するか。
「社内では、経営層、情報システム、総務、顧客対応、広報、必要に応じて法務担当。まず、少人数の対応チームを作ります」
ちぎりが、社内向け説明資料のたたき台を作り始めた。
「現時点の社内共有文は、こういう形がいいと思います」
画面には、簡潔な文章が並んだ。
現在、メール配信サービスに関する不審なAPI利用の連絡を受け、影響範囲を確認しています。 現時点で確認できている事実、未確認事項、実施済み対応を分けて整理しています。 顧客対応や外部説明は、対応チームからの指示に沿って行ってください。 個別判断での連絡やSNS投稿は控えてください。
杉本が目を丸くした。
「これ、すごく助かります。社内チャットに何を書けばいいか分からなくて」
ちぎりは穏やかに言った。
「危機のときほど、短く、正確に、同じ言葉で伝えるのが大切です」
電話がまた鳴った。
りりりりりん。
全員が振り向く。
今度は誰も立ち上がらなかった。 少し成長していた。
香澄が受話器を取る。
「はい、山崎行政書士事務所です」
応接室が静まる。
「……はい。少々お待ちください」
香澄の声が変わった。
全員の背筋が伸びた。
「駿河コマースリンク様の委託先、メール配信サービス会社のご担当者様からです」
三浦が立ち上がりかける。
香澄は落ち着いて言った。
「スピーカーにします。皆さん、メモを」
電話の向こうの担当者は、早口だった。
不審なAPI利用は昨日十九時三十二分から三十八分にかけて発生。 アクセス元は通常と異なるIP。 APIキーによる認証は成功していた。 取得された可能性のあるデータは、メール配信用リストの一部。 現時点で確認できる範囲では、クレジットカード情報やパスワードは含まれない。 詳細ログは追って提出予定。 委託先側で該当APIキーは失効済み。 再委託先の関与は現時点で確認中。
悠真の時系列表が、ものすごい速度で埋まっていく。
さくらは今度こそお茶を持っていない。 両手でメモを取っている。
電話が終わると、応接室に重い沈黙が落ちた。
「取得された可能性がある、ということですね」
戸倉社長が言った。
「はい」
蓮斗が頷く。
「ただし、範囲はまだ確定していません。詳細ログが必要です」
悠真はホワイトボードを見た。
「これで、分かっていることが増えました。同時に、次の確認事項も増えました」
戸倉社長は苦しそうに言った。
「お客様に、いつ言えばいいんでしょうか。まだ確定していないのに言うべきなのか、確定するまで待つべきなのか」
香澄は、少し間を置いて言った。
「ここは慎重に判断します。報告や本人通知が必要かどうか、どのタイミングで、どの内容を伝えるか。専門的な確認をしながら進める必要があります。ただ、準備は今すぐできます」
みおが静かに言った。
「電話が鳴るのを待つだけじゃなくて、伝える言葉を先に整えておくんですね」
陽翔が小さく頷いた。
「鳴らない電話を待ちながら、やることはある」
今度は誰も茶化さなかった。
その後、社外説明の文案作成に入った。
あやのが、顧客向け文案に赤を入れる。
「“漏えいしました”と断定するにはまだ確認が必要です。ただ、“漏えいの可能性がある事案を確認している”という表現は検討できます」
かなえが続ける。
「対象となる可能性のある情報、現時点で含まれないと確認している情報、実施済み対応、今後の対応、問い合わせ窓口。ここを整理しましょう」
ちぎりが、読みやすい形に整えた。
このたび、当社が利用するメール配信サービスにおいて、不審なAPI利用が確認されました。 現在、対象となる情報の範囲を委託先とともに調査しています。 現時点では、クレジットカード情報やログインパスワードが含まれる事実は確認されていません。 該当するAPIキーは停止し、追加のアクセス防止措置を実施しました。 詳細が判明次第、必要な対応を行います。 お問い合わせ窓口は以下のとおりです。
杉本は、その文案を見て少しだけ泣きそうな顔をした。
「やっと、言葉になりました」
香澄はやさしく言った。
「危機のとき、人は言葉を失いやすいです。だから、事実に沿って、落ち着いて、相手が知りたいことを並べます」
奏汰は技術対応を整理した。
APIキーの停止。 新しいAPIキーの発行は、原因確認後に限定的に行う。 権限を必要最小限にする。 不要な連携を停止する。 Azureサインインログを確認する。 アプリ登録、シークレット、権限変更を確認する。 委託先ログと照合する。 今後はAPI利用のアラートを設定する。 定期的に委託先のログ提出と連携権限を確認する。
蓮斗は、さらに淡々と補足した。
「委託先のログが出たら、時系列に重ねます。Azure側のログと食い違いがないか見ます。アクセス元、対象データ、件数、認証方法。ここを確認します」
三浦は深く頷いた。
「やることが見えてきました」
「見えれば、動けます」
蓮斗が言った。
夕方近く、対応方針がまとまった。
社内対応チームを作る。 時系列表を更新し続ける。 委託先へ詳細ログ、影響範囲、再委託先の関与、原因、再発防止策を確認する。 Azureログ、ECアプリログ、委託先ログを突き合わせる。 APIキーやアプリ権限を棚卸しする。 監督機関等への報告要否、本人通知の要否、通知内容を専門的に確認する。 顧客向け文案、社内向け文案、取引先向け文案を分けて準備する。 問い合わせ窓口を一本化する。 SNSや個別返信で不確かな情報を出さない。 事後には、委託先契約、ログ提出、API権限管理、インシデント対応手順を見直す。
しょうこが、最後に三行でまとめた。
「一、危機対応では、事実・未確認・推測を分ける。 二、Azureログ、委託先ログ、社内記録を時系列でつなぐ。 三、報告や通知は、慌てて叫ぶのではなく、相手が判断できる言葉で届ける。」
戸倉社長は、その三行を見て、長い息を吐いた。
「ここに来る前は、電話が鳴るのが怖かったんです。委託先からも、お客様からも、取引先からも。でも今は、鳴ったら何を聞くか、少し分かりました」
杉本も言った。
「社内に何を言うかも見えました」
三浦はノートパソコンを閉じた。
「ログを見ます。ちゃんと、時系列にします」
香澄はうなずいた。
「焦らず、でも止まらず。危機対応は、その両方が大切です」
その言葉の直後、電話が鳴った。
りりりりりん。
全員が振り向いた。
しかし、今度は誰も飛び上がらなかった。
さくらも、お茶をこぼさなかった。
香澄が受話器を取る。
「はい、山崎行政書士事務所です」
静かな間。
「……はい。承知しました。折り返しご連絡いたします」
香澄は受話器を置いた。
「コピー用紙、到着が少し遅れるそうです」
応接室に、どっと笑いが起きた。
緊張が、少しだけほどけた。
陽翔が言った。
「コピー用紙も、遅延通知をしてくれたんですね」
悠真が頷いた。
「適切な通知です」
さくらが笑った。
「第一報ですね」
戸倉社長も笑った。
「今日初めて、電話の音で笑えました」
その笑いは、決して軽いものではなかった。 漏えいの疑いは、まだ解決していない。 これから確認すべきことは多い。 報告や通知の判断も慎重に進めなければならない。
それでも、笑えるだけの落ち着きが少し戻っていた。
夕方、駿河コマースリンクの三人が帰ったあと、事務所には静かな疲れが残った。
さくらは、自分がこぼしたお茶の跡をもう一度確認した。
「朝は、電話が鳴るだけでパニックでした」
香澄が微笑む。
「でも、最後は落ち着いて聞けましたね」
悠真はホワイトボードの時系列表を眺めていた。
「危機対応では、落ち着きは才能ではなく、手順で作るものです」
陽翔がメモを取った。
「今日の最終名言です」
蓮斗が言った。
「ログも、落ち着くためにあります」
奏汰も続けた。
「分からないものを、分かる順番に並べるためです」
みおが言った。
「鳴らない電話を待つ時間も、何もしない時間じゃないんですね」
香澄は窓の外を見た。
青葉通りの夕方。 街灯が少しずつ灯り、木々の影が歩道に伸びている。
危機は、突然やってくる。 電話一本で。 メール一通で。 ログの一行で。
その瞬間、人は不安になる。 誰に言えばいいのか。 何を言えばいいのか。 いつ言えばいいのか。 まだ分からないことを、どう扱えばいいのか。
でも、落ち着きは作れる。
時系列にする。 事実と推測を分ける。 ログを確認する。 委託先に聞く。 社内の言葉をそろえる。 外に伝える言葉を整える。 そして、一人で抱えない。
それが、データ侵害通知の前に必要な、最初の灯りなのだ。
その日の終業前、悠真は正式な資料を保存した。
「個人情報漏えい疑い_初動対応時系列整理_初版.docx」
蓮斗は別ファイルを保存した。
「Azureログ確認項目_委託先ログ照合表.xlsx」
かなえは契約見直しメモを保存した。
「委託先契約_事故報告ログ提出条項整理.docx」
陽翔が横からのぞいた。
「正式ですね。鳴らない電話感がありません」
「必要ありません」
悠真が言った。
「では、思い出フォルダ用に」
「作る前から止めます」
しかし、三分後。
共有フォルダに新しいファイルができていた。
「データ侵害通知_鳴らない電話を待ちながら_事実と推測を分ける版.xlsx」
悠真は画面を見た。
削除キーに指を置いた。
その瞬間、さくらが言った。
「そのタイトルなら、今日の教訓を忘れません」
蓮斗も頷いた。
「時系列表の重要性が残ります」
香澄が笑った。
「思い出フォルダなら、残しましょう」
悠真は静かにため息をついた。
「思い出フォルダなら」
翌朝、戸倉社長からメールが届いた。
「昨日はありがとうございました。委託先から詳細ログの一次提出があり、対象範囲の確認を進めています。社内対応チームを作り、時系列表を更新しています。電話が鳴っても、まずメモを取るようにしました」
陽翔が読み上げると、事務所に小さな笑いが広がった。
さくらは湯呑みを両手で持ったまま言った。
「私も、電話が鳴ったら湯呑みを置きます」
悠真が頷いた。
「よい再発防止策です」
香澄はお茶を淹れながら、青葉通りの朝を見た。
今日も電話は鳴る。 良い知らせも、悪い知らせも、ただのコピー用紙の遅延も。
大切なのは、鳴った瞬間に慌てることではなく、受け取った情報を落ち着いて並べること。
青葉通りの契約書は、今日も笑う。 鳴らない電話を待つ時間の中にも、危機を乗り越えるための小さな準備があることを知りながら。
コメント