全1603文字

 2018年もサイバー攻撃による情報漏洩事件が相次いだ。しかし、サイバー攻撃で企業の対応はしばしば遅れる。自社は被害者だという考えに拘泥し、顧客に寄り添う姿勢を失ってしまうからだ。謝罪のプロがお手本と評価するプリンスホテルは、自社に技術的な責任がないにもかかわらず、迅速に社長が頭を下げた。

 「お客様に多大なご迷惑とご心配をおかけし、深くおわび申し上げます」

 6月26日、西武ホールディングス傘下のプリンスホテルは、サイバー攻撃によりクレジットカードなどの顧客情報が流出した事件について、小山正彦社長が記者会見を開いて謝罪した。

会見で謝罪するプリンスホテルの小山社長(右、写真:共同通信)

 この会見は謝罪のプロから高い評価を得ている。危機管理広報会社、エイレックスの江良俊郎社長は「プリンスホテルは直接的な責任がないにもかかわらず、迅速に対応し、しかも社長自ら会見に乗り出した」と評する。

 サイバー攻撃を受けたのは、プリンスホテルではなく、同社が外国語予約サイトの運営を委託していた仏ファストブッキングだった。世界中で多数のホテルが被害を受けた中、プリンスホテルは最も早く情報を公開。しかも、プリンスホテルの対応の早さに慌てたファスト社が、プリンスホテルの会見の30分前に急遽プレスリリースを発信する結果になった。

 会見は質問を無制限で受け付ける前提で始めたが、記者からの質問は早々に途切れ、僅か30分で終わる「凪の謝罪会見」だった。迅速対応が奏功してか、クレジットカードの悪用は確認されておらず、営業面でも影響は見られていないという。

 サイバー防衛の第一人者である名和利男・サイバーディフェンス研究所上級分析官は「企業の8〜9割は情報流出事件を隠したがる」と指弾する。「私が調査に入った企業のうち、ひどい事例では、私の目の前でサイバー攻撃の証拠になるアクセス記録を消され、『間違えました』と言い訳をされた」

 実際、IT業界の盟主と言える米グーグルですら、情報漏洩の開示に消極的な姿勢が明らかになった。グーグルは10月、SNSの「グーグルプラス」の利用者のうち最大50万人の個人情報が外部流出する恐れがあったと発表した。グーグルが事態を把握したのは3月。公表までに半年以上も時間をかけた。

 個人情報の問題に詳しい大井哲也弁護士は「サイバー攻撃において、企業は『自分が被害者だ』という意識にとらわれがちだ。だから謝罪会見になかなか踏み切らない」と指摘する。しかし「消極的な対応は、情報が悪用される二次被害を生む上、消費者からの損害賠償請求を誘発する。プリンスホテルのように委託先が攻撃されたとしても、消費者が求償するのは委託元だ。顧客目線の対応を欠けば、非難を受けるのは避けられない」

 この点でプリンスホテルの判断は正しかった。直接攻撃を受けたわけでもなく、防衛対策の不備だとされる責任もなかった。それでも小山社長は「運営を委託していても、ファスト社はあくまで黒子。被害者はプリンスホテルの顧客だ」と判断した。さらに「不特定多数の顧客に被害が及んでいる以上、最大限の効果のある開示の方法が必要だ」として、社長自ら謝罪会見に踏み切った。

「消費者に驚きを与えられれば謝罪は成功する」。これは多くの謝罪のプロが指摘する法則だ。プリンスホテルの場合、その対応の速さが驚きを生んだと言える。

 大井弁護士が指摘するもう1つの成功例が、2004年に情報漏洩が発生した通信販売大手のジャパネットたかた。知名度の高い高田明社長が即座に会見を開いて謝罪。さらに販売も停止した。徹底的な「反省」の姿勢が評価された。

 プリンスホテルとジャパネットたかたに共通するのは、あくまで顧客が被害者だとする認識だ。これがなければ、「誰に謝るのか」という最も基本的な視点を欠いたまま、危機対応に当たることになる。その結果、「謝罪が不十分だ」としてかえって会社のブランドを傷つける結果になりかねない。