先月、警察庁が都道府県警察へのサイバー事案通報窓口を一本化した（*1）ことを紹介した。もともと地方警察では地域のサイバーセキュリティ強化に取り組んでいるところも少なくなかったのだが、一昨年警察庁のサイバー警察局が出来て以来、警察組織の予防を含めたサイバー事案への取組みは強化されつつある。

 

　では、被害企業の立場からすると、警察との関わりはどうなのか？重要インフラを含む大手企業の人と意見交換する機会があったので、そのエッセンス（*2）を紹介したい。

 

　まず通報を必ずしているかというと、そうではないようだ。もちろんルール上は義務なのだが「刺殺死体が転がっている」ような明確な犯罪とは違い、気付かないことや犯罪かどうかの判断が難しい事案もあって、全てが報告されるわけではない。

 

　　　　

 

　ただ、個人情報漏洩の怖れがある場合には、個人情報保護委員会（PPC）への報告は義務付けられている。また監督官庁がある重要インフラ企業の場合には、当該監督官庁には報告しなくてはならない。その報告の際「警察には相談したのか？」と訊かれるのが通例なので、そのような経験を持つ企業は（少なくともPPCや監督官庁と）並行して、警察には報告する。

 

　「そのタイミングが難しい」と、企業のサイバーセキュリティ責任者たちは口をそろえる。上記のように犯罪なのかどうか判断が難しいケースが多いし、犯罪だと明確になったとしても警察に捜査に入られて、その結果PC等が差し押さえられてしまえば自らの調査も出来ないし、それ以前に事業継続のためのバックアップ措置もしておかないといけない。

 

　想定を交えた、いろいろなケースを議論しているうちに、企業の責任者たちと私のような第三者とでは大きな意識の違いがある点に気付いた。

 

＜続く＞

 

*1：サイバー犯罪対応統一窓口 - 梶浦敏範【公式】ブログ (hatenablog.jp)

*2：なにしろ機微な話なので、企業名や業種は伏せさせていただく