アサヒ、アスクルに学ぶ サイバー攻撃後に「信頼を落とさない会社」がやっていること

　Facebookタイムラインに、知人のこんな投稿が流れてきた。 　「ついに社食にもランサムウェア被害の影響が……。」 【共通点と差異を見る】「一般的な危機」と「ランサムの対応」 　どうやらアスクルの物流が止まったせいで、社食の紙ナプキンが不足しているらしい。最近ニュースで報道されている「システム障害」が、こんな形で生活に入り込んでいる現実を実感した。 　9月末、アサヒグループホールディングスがロシア拠点のランサムウェア集団「Qilin」（キリン）によるサイバー攻撃を受けた。国内全システムが暗号化され、生産・出荷・受注業務が全面停止。個人情報や内部文書の暗号化と窃取・公開脅迫が確認された。 　続いて10月、アスクルがランサムウェア攻撃を受け、社内システムが感染。物流子会社であるASKUL LOGISTICS（アスクルロジスティクス）のシステム障害が発生し、受注・出荷業務が全面停止。この影響は、物流業務を委託している取引先企業、良品計画（無印良品）、ロフト（ロフトリアルネット、ロフト）、そごう・西武（セブン&アイ・ホールディングス傘下）などに波及し、間接的な被害を生じさせた。 　どちらも出荷や受注などの中核業務が一時停止し、「デジタル化された企業活動の心臓が止まった」などと報じられた。だが今回のテーマは、攻撃そのものではない。問いたいのは、「攻撃を受けたあと、企業がどう信頼を守ったのか」という点だ。

　食中毒とサイバー攻撃、どちらが怖いと思うのだろうか。おそらく一般的には「食中毒の方が命に関わるから怖い」と答える向きが多いのではないか？　だが危機管理広報の現場では、サイバー攻撃の方が怖い。理由は単純で、「見えないから」だ。食中毒なら、原因や回収、再発防止策という“お決まりの流れ”がある程度見えている。 　しかしランサムウェアの場合、誰が、いつから、どのデータを盗み、どこに拡散させたのかが分かりづらい。目に見えない被害を、誰にでも伝わる言葉に翻訳する。その難しさが怖い。また、一般的な危機――地震や製品トラブルなど――には「終わり」がある。地震なら復旧、製品事故ならリコールが完了すれば、一段落つく。 　ところがランサムウェアは「終わり」が見えない。攻撃が本当に止んだのか、再感染のリスクはないのか。企業も顧客も、誰も確信が持てない。この“終わりの見えなさ”こそが、企業の信頼を蝕（むしば）む。 　欧州連合（EU）のサイバーセキュリティ機関ENISAが、2024年に公開したサイバー危機の管理に関するベストプラクティスをまとめた報告書「Best Practices for Cyber Crisis Management」と、コーネル大学が2024年に公開した、運営するデータ侵害時の危機コミュニケーション戦略を分析した論文「Crisis Communication in the Face of Data Breaches」を元に、「一般的な危機」と「ランサムの対応」の共通点と差異をまとめた。 　この一覧からも分かる通り、ランサムウェアの広報対応は、一般危機（地震：自然災害、食品事故：健康リスク、製造トラブル：製品欠陥）と共通のフレームワークを共有しつつ、サイバー特有の複雑さ（データ漏洩（ろうえい）脅威、身代金倫理）が差異を生む。 　研究では、全ての危機で「共感・正確・継続更新」の原則が有効であり、信頼回復率は、迅速開示で20～30％向上するとされている。一般的な危機は「目に見える被害」（崩壊・中毒）で、即時謝罪が中心に対し、ランサム対応はサイバー専門広報チームの必要性が高いことが示されている。