意思決定のスピード、全社的な体制はどのように培われたのか
〔1〕社内情報漏えいの心配はなかった?
青山 ステークホルダーへの危機広報、あるいはコミュニケーションというと、どうしても当局やクライアント、サプライヤー、銀行といった社外のステークホルダーを思い浮かべますが、モランドさんの話を聞いて、まず考えるべきステークホルダーは社員であるということを再確認できました。
一方、社員向けコミュニケーションのリスクの1つとして、インサイダーによる情報漏えいの問題があると思います。その点はどうだったのでしょうか? つまり、インシデントに関する情報を、社員が社内情報をSNSなどに匿名で発信するという可能性については考慮されたのでしょうか?
モランド いえ、その逆です。社員には、最新かつ正しい情報を提供し、彼らから隣人や家族、友人に事実を伝えてほしかったのです。社員は会社のスポークスマンではないので、メディアに語ることは許されませんが、周囲と情報を共有することは許されるべきです。
そのために私たちは、対外的にもオープンで透明性のある対応に努めました。社内向けでも社外向けでも同じ情報を提供するように心がけ、実際、ほぼ同じ量と同じ内容を提供しました。
青山 コミュニケーションの透明性、頻度、オープンさ、これらは社員広報にも通じるということですね。つまり、きちんと社員を教育し情報提供すれば、彼らが正しいメッセージを伝えてくれる、情報漏えいは心配ない、ということですね。
モランド まさにそのとおりです。
〔2〕開放性(オープン)、透明性を重んじる社内風土の後押し
青山 関連する質問になりますが、どのようにしてこれだけ大量の広報活動を成し遂げたのでしょうか(前出の表3参照)。多くの企業は、危機広報の重要性は十分に理解していても、履行するだけの人材、リソースが足りないと思います。ノルスク・ハイドロではどうしてそれが実現できたのでしょうか?
モランド ノルスク・ハイドロにはある程度人材はいますが、広報担当はさほど多くはいません。でも3万4,000人の社員がいます。コミュニケーションができる人間がそれほどたくさんいるということなのです。彼らができること、やってほしいことさえきちんと伝えればいいのです。ただ、普段からそのような社内風土が育っていないと、サイバー攻撃の直後に実行するのは難しいでしょう。私どもは、長年そのような広報活動を通じて開放性(オープン)、透明性を重んじる社内風土を培ってきました。
ここで強調したいのは、「透明性」とは、知っていることをすべて話すということではなく、ある連続体の中で他者に状況を理解してもらうために、開示しても安全な内容を話すということです。
そのために会社の管理職も社員も研修を受けていますし、セキュリティ分野の教育や訓練を受けたコミュニケーション担当者も採用しています。トップのCEOがコミュニケーションの重要性を十分認識していて、それが全部門や全社員に浸透しているのだと思います。
このような社風の中で、社員は会社に大きな期待を寄せています。私たち(広報)も、良い時も悪い時も、社員が会社の現状を正しく理解できるように努めています。事件が起こった当時は最悪の時期でしたが、悪いときこそ、社員が会社の現状を正しく理解することが重要なのだと思います。危機を乗り越え、前よりも強くなって復活するためには、全社員の貢献が不可欠だからです。
〔3〕まずは真実を伝えることが大事
青山 危機への備え(Preparedness)とその背後にある社風が、当時の広報戦略につながっていたということですね。
最後になりますが、技術的な背景をもつ、ITエンジニアやOTのセキュリティエンジニア、サイバーインシデント対応チームのメンバーは、会社の危機広報にどのように協力することができるのでしょうか? アドバイスをお願いいたします。
モランド 各部門で貢献する専門家からは、真実を伝えていただくことが何よりも重要です。
今回のインシデントで確認できたことですが、会社と危機対応チームに求められるのは、何が起きているのかを正しく知るための情報です。これは、現実的な対応を考えていくうえで、とても必要なことです。
サイバー攻撃からの復旧の際、IT部門が経営陣に出した提言は、今すぐシステムをオンにすることは可能だが安全ではない、という明確なメッセージでした。ですから、最初の数日から数週間は攻撃を封じ込めること、リスクを把握することに時間を費やし、そこからゆっくり復旧に向けて前進を始めました。
今振り返ってみると、事態をうまく乗り切れたし、会社も強くなったと思います。当時のような攻撃は二度と経験したくないのですが、でも私たちは緊急対応への復旧計画・準備はできています。
青山 復旧に向けた計画を立てておく、また最悪の事態にどう対応すればいいか、その準備を支える組織文化が醸成されているという点で、御社はまさにすばらしい模範になりました。ありがとうございました。
[編集協力](敬称略)
佐々木 弘志(ささき ひろし)
IPA 産業サイバーセキュリティセンター サイバー技術研究室 専門委員
