炎上しない謝罪のポイントとはSNS時代の危機管理広報

畑山氏

ケース・バイ・ケースです。サイバー攻撃を受けたことで、一般のユーザーが使用するサービスが使えなくなるなど、外部に影響が出ている場合は急ぐべきです。特に情報漏洩の可能性がある場合は、注意喚起のためにも公表を急いだ方がいいでしょう。ただし、何もわからない段階での公表は、いたずらに混乱を招く可能性もあるため、取引先へ個別に連絡するなど別の手段を検討した方がいいケースもあります。

畑山氏

そうですね。被害が発生していない平時のうちに、判断基準を決めておく必要があります。危機管理広報で準備しておくべきなのは、ランサムウェア等の被害に遭ったケースを想定した公式発表文書のステートメントやリリース文書です。ただし、実際に攻撃を受けた際、そのまま公開できるわけではありません。しかし、少々手直しすれば利用できるので、混乱している状況で一から検討するよりも炎上につながるリスクを下げられます。近年、サイバー攻撃によるシステム障害や情報漏洩が後を絶たず、被害を公表する企業・組織が増えていますが、このような危機管理広報で求められる対応について、すでに大企業の多くが詳細なマニュアルを作成されています。

公表の有無は、組織の規模ではなく被害の影響範囲によって決まる状況を見ても、大企業以外でも自組織での発生を想定した準備の中に、広報対応を含めておく必要性を理解していただけるのではないでしょうか。

畑山氏

提供しているサービスが止まったり、個人情報の流出が発覚した場合の謝罪対象は、サービス利用者や顧客です。メールが使用できなければ取引先にも迷惑がかかりますし、影響範囲が広いほど謝罪対象も増えます。以前は個人情報の流出が認められなければ、被害を公表しない選択をするケースが多かったのですが、近年はお客様や取引先等への注意喚起や説明責任を果たすための公表が増加。被害を拡大させず「自社のお客様を守る」ための公表・会見を意識していただきたいですね。

畑山氏

自分たちも被害者だと思っている姿勢が見えることです。2014年に大手通信教育事業者で顧客の個人情報流出が発覚した際の会見は、今でもたびたび失敗例として取り上げられています。会見での「“現時点では”加害者です」という発言からは、実は自分たちも被害者だと考えているニュアンスが伝わり、批判が集まりました。さらに古く、2000年に発生した大手乳製品メーカーによる食中毒事件では、記者に囲まれた当時の社長が「私は寝てないんですよ」と言い放ったのを覚えている方もいらっしゃるかもしれません。少しでも自分たちも被害を受けたと考えていると受け取られたら、原因となった事件以上の炎上につながります。サイバー攻撃の場合、最終的な被害範囲の確定に時間がかかるため、最初の発表・会見時点では詳細を公表できないケースも多くなりますが、迷惑をかけた方、被害を受けた方へのおわびの姿勢を終始崩さないことが何よりも大事です。

畑山氏

評価を下げるポイントは、先ほどお伝えした“自分たちも被害者だ”という感情が伝わること、自社以外の責任への言及などがありますが、スピードも重要です。事態を把握してから公表までに時間が経過すればするほど、批判に直結します。2021年に明らかになった、大手デリバリーサービス企業で発生した決済処理のトラブルが公になったのは、発生から3年後。しかも、正式な公表前に対象の顧客への請求通知が行われたことからです。驚いた顧客がSNSにポストしたことがきっかけで、広く知られる事態になりました。さらに、その後Webサイトで公開された「決済の不具合に関するご報告とお詫び」ページに、検索エンジンの対象から外す「noindex」タグが設定されていたことが判明します。すると、同社の対応には積極的な謝罪をしたくない姿勢が透けて見えるとして、非難の声が上がりました。このような矛盾した行為は、そもそもの原因となったインシデント以上に企業のイメージダウンにつながるため、謝罪の場では絶対に避けなければなりません。

畑山氏

2024年の大手出版社の件が皆さんの印象に残ったのは、被害そのものよりも攻撃者に身代金を支払ったという報道とその後の対応が理由かもしれません。当初は、事態が発覚した翌日には第一報を出すという、ごく一般的な対応でした。しかし、原因がランサムウェアだったと公表するまでに5日もかかったことで、公表が遅いという印象を持たれてしまいます。さらに、その後公開されたコメントが事実の説明というより、身代金の支払いに関して報じた報道機関に対する抗議、“報道されなければうまくいっていた”という怒りだと受け取られたことも印象を悪くしてしまいました。

畑山氏

社長や役員の発言は、個人のSNSアカウントであっても企業の公式発表として扱われ、炎上した場合のリスクは計り知れません。そのため、炎上につながらないよう、広報部門がSNS等で世論の動向をチェック。社長や役員に対し助言することも必要です。特に批判を受けている内容に関わるコメントは慎重に検討し、予定している内容が危険だと感じた場合には、説得の上で軌道修正が求められる場面もあるでしょう。さらに、発言者によって内容が異なると受け取られることもリスクにつながるため、広報部門には統制のとれた発言が行われるよう取り仕切る能力が求められます。技術的な内容に関しては、情報システム部門が積極的に関わってください。

畑山氏

インシデントの発生に付随して批判され、大量のリポストや問い合わせの電話が鳴りやまないなどの実害が発生している場合、まずはWebサイトで公式見解を表明します。その際、コメントの出し方次第ではさらに炎上するリスクがありますから、専門家のアドバイスを受けられた方が安全です。また、企業アカウントでの発言が炎上してしまった場合、安易にコメントを削除してしまうことでさらに批判が高まります。やはり、専門家を頼ってマニュアルを作成しておくなど、平時のうちに対策しておくことが重要です。

畑山氏

2022年に大規模通信障害を起こした大手通信事業者の謝罪会見もその一つですね。話題になったのは、大企業の社長が自らの言葉で説明を尽くし、記者からの質問に対しても技術的な内容に至るまで丁寧かつ明快に返答する姿です。甚大なトラブルであったにもかかわらず、各種メディアやSNSで“好感度が上がった”というコメントを頻繁に見かけました。ただし、あの事例では当時の社長が技術職出身だったということがうまく機能した面があり、まねをするのは難しいでしょう。そのため大半のケースでは、情報システム部門の責任者が会見に同席し、ネットワークやシステム全般の技術的な内容を説明しています。しかし、逼迫した場面で謝罪する姿勢を崩さず、丁寧な受け答えを続けることは簡単ではありません。情報システム部門の方は、「危機管理広報」を担うのは広報部門と経営層だと考えられているかもしれませんが、一緒に記者会見のトレーニングを積み、認識を合わせておくことが重要です。

畑山氏

2020年に東京証券取引所が行ったシステム障害に関する会見です。全銘柄が終日売買停止という、1999年に取引がシステム化されて以降、初めての事態に見舞われ、当日の夕方には当時の社長や執行役員、親会社の日本取引所グループのCIOが会見を行いました。危機管理広報の成否を決めるポイントの一つ、初動の早さをクリアしています。

また、システムトラブルの状況説明には、どうしても専門用語が多用されがちですが、難しい内容をかみ砕いて誰でも理解できる言葉に変換して説明されていました。簡単な言葉に言い換えるのはそれほど難しくないと思う方もいらっしゃるかもしれませんが、記者の質問意図をその場で理解し、瞬時に平易な言葉に変換するという作業を記者会見の場でやり遂げるのは、簡単なことではありません。記者会見に登壇した3名の役割が明確に分担され、会社の方針や技術的な内容について、それぞれが任された役割をしっかり果たされていたこともわかりやすさにつながりました。発生当日の会見では、その時点で原因が判明していないことが多く、可能性の段階の話と事実が混在されがちです。これが説明のわかりづらさにつながってしまうため、適任者を選ぶのはもちろんですが、やはり記者会見のトレーニングを経験しておくことも必要だと思います。

SNSでこの会見が最も絶賛されたのは、問題となったシステムや機器を手がけていたベンダーに損害賠償をするのかを問われた際、「市場運用の責任はわれわれにあり損害賠償請求は考えていない」と回答したことです。「賠償請求も辞さない」と発言して反感を買った、2005年のシステム障害発生時の会見を教訓にされていたと感じました。

畑山氏

影響の大きさです。不正アクセスによりどれだけの情報が流出したのか、またその内容で判断することになります。先ほどの大手通信企業や東京証券取引所のように、システムの停止により業務を停止せざるを得ない状況に追い込んでしまったり、多くの人の通信手段を奪うという損失を与えてしまった状況では、会見を開いて説明をするべきでしょう。できれば大ごとにしたくないという考えが頭をよぎるかもしれませんが、影響範囲が広い場合は、テキストによるリリース発表だけでなく、会見を開いて広く報道してもらった方が、情報を届けたい相手に早く伝わる可能性が高いため、素早い火消しにつながります。

畑山氏

そうですね。私どもには新聞記者や報道番組を担当していた経験を持つ社員もいます。彼らの経験を生かし、メディアでの報道のされ方を含めてアドバイスしてきました。会見で語るのは、社長でなければいけないわけではありませんが、絶対条件は「会社の考えを代表して語れる方」です。必然的に取締役等の経営に関わるポジションの方になります。アドバイスの場には社長や広報部門、情報システム部門の方と共に、経営層の方も同席されることをお勧めします。

畑山氏

このところ、事前に一度もご相談いただいたことのない企業・組織から、被害発生後にご相談いただくケースは増えていますし、もちろん対応は可能です。しかし、被害が発生していない段階でご相談いただければ、事前にお客様のことを理解できているため、被害発生時の対応が迅速に行えます。また、事業内容等について事前に詳細まで把握できていれば、よりお客様のビジネスに寄り添った対応が可能です。事業継続のため、被害発生後の技術的な対応については、すでにSIerやセキュリティベンダーへ保守・サポート体制等を相談済みの組織が増えていると思いますが、危機管理広報も同様だと考えてください。

畑山氏

そうですね。セキュリティインシデントについて、事実に基づいた情報を素早く発信するためには、PCの操作ログが保存されていることが欠かせません。セキュリティインシデント発生時には、何度も事実関係の説明を求められますし、再発防止のための原因特定にも非常に重要です。

畑山氏

まだ危機管理広報に取り組まれていないのであれば、この記事をきっかけに検討していただければうれしく思います。また、すでに体制を整えられている企業でも、現状の内容で問題ないか定期的に見直しをかけてください。特にサイバーインシデントの発生は、どれだけ対策しても完全に防ぐことはできないため、起きてしまった後を想定した準備が必要です。危機管理広報に失敗すれば、元になったインシデント以上に企業イメージの失墜につながり、経営に深刻なダメージを与える可能性もあります。情報システム部門の方には、経営者、広報部門と連携して対策に取り組んでいただけたらと思います。