日本の企業・団体は隠蔽体質を持った所が多い。残念ながら。

ウェブサイトが攻撃を受けて大規模な情報漏洩をすると「ほぼ間違いなく」何らかのニュースになるので情報を公開するところが多いが、攻撃の結果が改竄であると話は変わる。残念ながら改竄事件は日常的に発生している。規模の大小を問わず毎日多くのサイトが改竄されている。だから「ほぼ間違いなく」ニュースにならない。結果として、改竄されたサイトの多くは「改竄の事実を無かった事」にしてしまう。

でも、この対応は間違いだ。

外部から見ると、そのサイトが個人情報を扱っているのかどうなのか定かでない場合もある。改竄がされているという事は「そこにある個人情報が盗まれている」可能性も考えられるし、改竄の仕方によっては「閲覧者に危害を与える」こともある。だから、改竄されたら「必ず」改竄の事実をトップページで告知するべきである。情報漏洩等がなければ「情報漏洩はなかった」とハッキリ書くべきだし、閲覧者に危害を与えることがなければ「閲覧者への影響はなかった」とハッキリ書くべきだ。それぞれ、あったのならば「情報漏洩があった」「閲覧者への影響があった」と書くべきなのは当然のことだ。

あと、重要なのは「対策を完璧にした」のか「改竄されたページを削除した」だけなのかも書くべきである。前者であれば閲覧者の信頼を得られるだろうし、後者であれば閲覧者の不信感が高まるとは思うが、企業・団体の姿勢を明らかにする上では重要なポイントである。閲覧者の信頼が欲しければ「対策を完璧にすべき」なのである。

小さな改竄であったとしても、改竄の事実は閲覧者に伝えるべきである。

参考までに、別海町役場のサイトが改竄された際に同時に改竄されたサイトも含めて調査したが、どこのサイトも改竄の事実を「告知していない」し、「改竄されたページを削除しただけ」で「対策は何らされていない」という事は記しておきたいと思う。そして、同様の対応が日本国内の数多くのサイトで行われていると言うことも記しておく。それが、日本の多くの企業・団体の姿勢である。