(永遠のβ版)
インシデント対応履歴
背景
ゆめみでは、全員CEOとしてあらゆるメンバーがあらゆる意思決定を最適に行うために経営情報もオープンにする必要があるという考えから「徹底的な透明性」を全社的なガイドラインとして定めています。
「徹底的な透明性」のねらい
社外への知見・ナレッジ提供による業界貢献
ティール組織、アジャイル組織の実践を公開して、未来のあるべき組織の一助になりたい
外部公開によるドキュメント精緻化
社内ドキュメントを敢えて外部に公開することで、より精緻なドキュメントを行う力が働く
外部の協力者にゆめみの組織作りに参画してもらう機会作り
ドキュメントを見た人の中から、ゆめみの組織作りに関心を持ってもらい、一緒に組織作りを行っていく仲間と繋がりたい
社内情報ポータル「ゆめみオープンハンドブック」
上記の考えにもとづいて、2021年4月からゆめみの社内情報ポータル「ゆめみオープンハンドブック」として社外公開しています。
「徹底的な透明性」につながる3つのオープン
情報公開にあたって、以下のスタンスを大切にしています。
あらゆる情報(事実・現実・真実)を顧客にもオープンにする
情報の記録を徹底する
情報はオープンにしたうえでさらに透過させる
きっかけとなった事案
その一端として、発生したインシデントについてもNotionページで公開、アーカイブ化していく方針を検討していました。
そうしたなか、2022年9月、『ゆめみオープンハンドブック』において、一部の個人情報が漏えいしていたことが判明しました。
きっかけとなった事案の概要
概要
当社の採用活動に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報を含む機密情報が閲覧可能な状態にあったことが社内調査により判明しました。
なお、現在は該当情報を閲覧できる状態は解消しています。本件に関し、現時点においては不正使用などの被害が発生した事実は確認されていません。
1.個人情報漏えいの可能性がある対象者
(1)2021年12月に実施した2023年卒を対象にした新卒採用イベントへの参加者
(2)イベント主催企業の担当者様
2.漏えいした可能性のある情報
(1)イベント参加者の名前の一部(苗字のみ):38件
(2)イベント主催企業の担当者様の氏名および電話番号:2件
(3)過去分も含めたイベント実施概要資料へのアクセス用URL
(4)当社関係者による評価コメント
(5)オンライン面談へのアクセス用URLおよびパスワード:1件
3.インターネット上で閲覧が可能となっていた期間
2021年12月18日~2022年8月4日
4.経緯
2022年8月4日(木)14時頃に、クラウドサービス上に作成されたページ内に個人情報を含む情報が閲覧できる状態にあることを、取引先企業の担当者様より当社担当者に連絡が入りました。
事実関係を確認したところ、一部の個人情報を含む情報がリンクを知っていれば誰でも閲覧できる状態になっていました。
5.原因
クラウドサービスを利用して作成したページの閲覧範囲が「リンクを知っているインターネット上の全員が閲覧可能」となっており、閲覧範囲の設定が適切ではなかったことによるものです。
6.対応状況
個人情報を含むすべての情報に閲覧制限を実施し、社外からのアクセスができない状態に変更しました。
漏えいした可能性のある該当者に報告とお詫びの連絡をしました。
7.二次被害の有無とその可能性について
本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されていません。
8.今後の対応
クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。
また、弊社が公開している『ゆめみオープンハンドブック』内に専用ページを設け、今回の事案を含む問題改善対応履歴を随時更新してまいります。
顕在化した課題
そして、この事案への対応のなかで、社内メンバーのリテラシーおよび事案に対する受け止め方にバラツキがありました。
具体的には、情報開示の方針(プレスリリース配信?コーポレートサイト掲載?そもそも公表する必要性があるのか?)について様々な意見が入り乱れて混乱状態に陥り、結論を出すことができませんでした。
背景として、徹底的な透明性の観点に沿えば、すべてのインシデントを公開すべきという意見もあれば、運用負荷を高めてでも公開する必要性があるのかという、公共性についての議論が事前に不足していたことが露呈されました。
つまり、以下のような組織課題があったのです。
Bad News Fastの文化もあり、インシデントをオープンにする行動が定着し、当事者意識が高いメンバーの人数が多く、関係者が多いが故にリテラシーにばらつきがある
適切なリスク評価を行わず、インシデントに過剰反応してしまう透明性への過学習の弊害
徹底的な透明性の方針を堅持する中で、公共性や説明責任の観点で最適なリリース方針を解像度高く定義する必要性
今後に向けて
徹底的な透明性まで至らなくとも、情報の透明性はゆめみに限らず多くの企業が推進するトレンドになり得ます。
その場合、ゆめみが陥ったような課題に各社が陥らないようにしたいという想いがあり、対応方針について明確に定めて各社の参考にしてほしいと考えています。
現段階では社内で組織の脆弱性に関するフィードバック、インシデントを集める取り組みを行い改善に繋げようとしています。
今後、さらなる組織の信頼性向上を図るため、インシデントに関する情報を社外にも可能な限りオープンにします。
その結果、社内外からフィードバックが集まり、課題の早期解決、発生予防、情報の品質と信頼性を持続的に高めていく体制を目指します。
インシデント対応方針
基本3ステップ
社内Slack BadNewsFast チャンネルでの共有
「インシデント対応履歴」DBへの記録
社外への情報開示が必要かどうか調査・判断したうえで社外公開
【対応方針詳細】
具体的なアクション
社内Slack BadNewsFast チャンネルでの共有&「インシデントポータル」スタンプを押す(担当:インシデントを発見したメンバー)
スタンプを押すことによって「#160_corporate_pr」チャンネルにエスカレーションされます
このページ内「インシデント対応履歴」DBへの記録(担当:広報)
DBに記録した内容について、コーポレートPRチーム内で「インシデントの性質と被害・損害、経営への影響、社会的影響」を踏まえて総合的に考慮し、社外への情報開示が必要かどうか判断(担当:広報)
対象
以下に該当するインシデント・脆弱性をこのページに記録していきます
ただし、インシデントについては原則的に、ゆめみの社内で報告されるインシデントの中から本データベースで取り扱うものを選択して公開します
基本的にゆめみの社内ではBad News Fastが浸透しており、軽微なもの含めてインシデント報告がなされている前提となります
特にゆめみ社外に影響あるインシデントを中心に扱います
例)
採用に関係する応募者の方に影響する情報
委託先パートナーに関わる情報
ホームページやオープンハンドブックなど外部利用が発生しているインターネット上の情報サービス など
インシデント除外対象
例)
ゆめみの法人顧客の取引に関わる内容
社内メンバーのみに影響するもの
軽微なレベルのもの(例:求職者の方とのカジュアル面談に5分遅刻した) など
調査・判断の基準
定性的指標(例)
自社の情報発信における不手際
役員による不正、不祥事
従業員による内部情報・個人情報の漏えい、不適切発言(投稿含む)、内部告発、著作権侵害などの不正行為
第三者(企業、個人)によるネガティブキャンペーン
顧客によるクレーム
サイト掲載情報の脆弱性 など
定量的指標(例)
被害・損害
経営への影響
社会的影響 など
情報開示チャネル(例)
コーポレートサイト掲載
プレスリリース
ブログや動画による説明
記者会見 など
※社外公表する場合、適切なチャネルで速やかに情報開示します(広報判断)
基本対応フロー
インシデントや脆弱性の発生・発見・発覚
事実確認
対応方針や具体的解決法の策定
関係各所への連絡・対応(必要に応じて)
社外公表(必要と判断した場合)
対応プロセスの改善・最適化
再発防止策の策定
対応履歴DBへの記載
※以下はこのページをご覧になった社外の方を対象としたものとなります(求職者、パートナーなど)
社外のみなさまからのフィードバック
ゆめみに関するインシデントや脆弱性を発見した場合、こちらのフォームよりお知らせください。