インシデント対応履歴
| 発見日 | 対応完了日 | 種別 | タイトル | 概要 |
|---|---|---|---|---|
September 1, 2022 | September 15, 2022 | 個人情報漏洩 | ゆめみオープン・ハンドブックに、カジュアル面談を受けられた方の個人情報が閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報を含む機密情報が閲覧可能な状態にあったことが社内調査により判明。 | |
December 13, 2023 | December 13, 2023 | その他 | 外部に共有するために外部公開にしたものの、そのまま継続して公開になっていたページ(社外との議事録含む)があった(インターネット検索可能ではない) |
背景
ゆめみでは、全員CEOとしてあらゆるメンバーがあらゆる意思決定を最適に行うために経営情報もオープンにする必要があるという考えから「徹底的な透明性」を全社的なガイドラインとして定めています。
「徹底的な透明性」のねらい
- 社外への知見・ナレッジ提供による業界貢献
- ティール組織、アジャイル組織の実践を公開して、未来のあるべき組織の一助になりたい
- 外部公開によるドキュメント精緻化
- 社内ドキュメントを敢えて外部に公開することで、より精緻なドキュメントを行う力が働く
- 外部の協力者にゆめみの組織作りに参画してもらう機会作り
- ドキュメントを見た人の中から、ゆめみの組織作りに関心を持ってもらい、一緒に組織作りを行っていく仲間と繋がりたい
社内情報ポータル「ゆめみオープンハンドブック」
上記の考えにもとづいて、2021年4月からゆめみの社内情報ポータル「ゆめみオープンハンドブック」として社外公開しています。
ゆめみオープンハンドブック🔰「徹底的な透明性」につながる3つのオープン
情報公開にあたって、以下のスタンスを大切にしています。
- あらゆる情報(事実・現実・真実)を顧客にもオープンにする
- 情報の記録を徹底する
- 情報はオープンにしたうえでさらに透過させる
きっかけとなった事案
その一端として、発生したインシデントについてもNotionページで公開、アーカイブ化していく方針を検討していました。
そうしたなか、2022年9月、『ゆめみオープンハンドブック』において、一部の個人情報が漏えいしていたことが判明しました。
顕在化した課題
そして、この事案への対応のなかで、社内メンバーのリテラシーおよび事案に対する受け止め方にバラツキがありました。
具体的には、情報開示の方針(プレスリリース配信?コーポレートサイト掲載?そもそも公表する必要性があるのか?)について様々な意見が入り乱れて混乱状態に陥り、結論を出すことができませんでした。
背景として、徹底的な透明性の観点に沿えば、すべてのインシデントを公開すべきという意見もあれば、運用負荷を高めてでも公開する必要性があるのかという、公共性についての議論が事前に不足していたことが露呈されました。
つまり、以下のような組織課題があったのです。
- Bad News Fastの文化もあり、インシデントをオープンにする行動が定着し、当事者意識が高いメンバーの人数が多く、関係者が多いが故にリテラシーにばらつきがある
- 適切なリスク評価を行わず、インシデントに過剰反応してしまう透明性への過学習の弊害
- 徹底的な透明性の方針を堅持する中で、公共性や説明責任の観点で最適なリリース方針を解像度高く定義する必要性
今後に向けて
徹底的な透明性まで至らなくとも、情報の透明性はゆめみに限らず多くの企業が推進するトレンドになり得ます。
その場合、ゆめみが陥ったような課題に各社が陥らないようにしたいという想いがあり、対応方針について明確に定めて各社の参考にしてほしいと考えています。
現段階では社内で組織の脆弱性に関するフィードバック、インシデントを集める取り組みを行い改善に繋げようとしています。
今後、さらなる組織の信頼性向上を図るため、インシデントに関する情報を社外にも可能な限りオープンにします。
その結果、社内外からフィードバックが集まり、課題の早期解決、発生予防、情報の品質と信頼性を持続的に高めていく体制を目指します。
インシデント対応方針
基本3ステップ
- 社内Slack BadNewsFast チャンネルでの共有
- 「インシデント対応履歴」DBへの記録
- 社外への情報開示が必要かどうか調査・判断したうえで社外公開
【対応方針詳細】
具体的なアクション
- 社内Slack BadNewsFast チャンネルでの共有&「インシデントポータル」スタンプを押す(担当:インシデントを発見したメンバー)
- スタンプを押すことによって「#160_corporate_pr」チャンネルにエスカレーションされます
- このページ内「インシデント対応履歴」DBへの記録(担当:広報)
- DBに記録した内容について、コーポレートPRチーム内で「インシデントの性質と被害・損害、経営への影響、社会的影響」を踏まえて総合的に考慮し、社外への情報開示が必要かどうか判断(担当:広報)
対象
- 以下に該当するインシデント・脆弱性をこのページに記録していきます
- ただし、インシデントについては原則的に、ゆめみの社内で報告されるインシデントの中から本データベースで取り扱うものを選択して公開します
- 基本的にゆめみの社内ではBad News Fastが浸透しており、軽微なもの含めてインシデント報告がなされている前提となります
- 特にゆめみ社外に影響あるインシデントを中心に扱います
- 例)
- 採用に関係する応募者の方に影響する情報
- 委託先パートナーに関わる情報
- ホームページやオープンハンドブックなど外部利用が発生しているインターネット上の情報サービス など
インシデント除外対象
- 例)
- ゆめみの法人顧客の取引に関わる内容
- 社内メンバーのみに影響するもの
- 軽微なレベルのもの(例:求職者の方とのカジュアル面談に5分遅刻した) など
調査・判断の基準
- 定性的指標(例)
- 自社の情報発信における不手際
- 役員による不正、不祥事
- 従業員による内部情報・個人情報の漏えい、不適切発言(投稿含む)、内部告発、著作権侵害などの不正行為
- 第三者(企業、個人)によるネガティブキャンペーン
- 顧客によるクレーム
- サイト掲載情報の脆弱性 など
- 定量的指標(例)
- 被害・損害
- 経営への影響
- 社会的影響 など
情報開示チャネル(例)
- コーポレートサイト掲載
- プレスリリース
- ブログや動画による説明
- 記者会見 など
※社外公表する場合、適切なチャネルで速やかに情報開示します(広報判断)
基本対応フロー
- インシデントや脆弱性の発生・発見・発覚
- 事実確認
- 対応方針や具体的解決法の策定
- 関係各所への連絡・対応(必要に応じて)
- 社外公表(必要と判断した場合)
- 対応プロセスの改善・最適化
- 再発防止策の策定
- 対応履歴DBへの記載
※以下はこのページをご覧になった社外の方を対象としたものとなります(求職者、パートナーなど)
社外のみなさまからのフィードバック
ゆめみに関するインシデントや脆弱性を発見した場合、こちらのフォームよりお知らせください。