2022年4月に個人情報保護法が改正され、企業が対応すべき内容やリスクに関する部分が大きく変わりました。この記事では、改正個人情報保護法の内容や改正の背景、対策についてまとめています。
対策は「情報漏えい対策」の観点で注意すべきポイントをまとめておりますので、参考にしていただければ幸いです。
目次 :
個人情報保護法の歩み
国民の個人情報に対する意識の高まり
技術革新を踏まえた個人情報の保護と利活用のバランス
越境データの流通増大に伴う新たなリスク
2)事業者が守るべき責務の強化
5)ペナルティの厳罰化
情報資産の棚卸
個人情報を流出させない対策と体制強化
予防と事後対応に必要な「記録」
損害リスクの理解と対策
個人情報の保有状況
内部不正/情報の持ち出しリスク
PC端末などのIT資産の洗い出し(PC/ソフトウェア)
外部脅威への対応
個人情報保護法とは
個人情報保護法とは、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的とした「個人情報の適切な取り扱いと保護」について定めた法律です。
個人情報保護法の歩み
2003年5月30日 公布・施行 | 個人情報保護法 新規制定 (2005年(平成17年)全面施行) 法施行後約10年が経過。 情報通信技術の発展により、制定当時には想定されなかったパーソナルデータの利活用が可能になる |
2015年9月9日 改正公布 ↓ 2017年5月30日 改正施行 | 個人情報保護法改正 (2017年(平成29年)全面施行) 3年ごと見直し規定が盛り込まれる 国際的動向、情報通信技術の進展、 新産業の創出・発展の状況等を勘案 |
2020年6月12日 改正公布 | 3年ごと見直し規定に基づく初めての法改正 |
2021年5月19日 改正公布 | 個人情報保護制度の官民一元化 ※デジタル社会形成整備法による一部改正 |
2022年4月1日 全面施行 | 2022年施行 個人情報保護法 改正の背景 |
2022年 改正の背景
国民の個人情報に対する意識の高まり
平成28年(2016年)1月からマイナンバー制度が開始され、総務省がマイナンバーの利活用を推進しています。今後、デジタル社会基盤として利用価値が高まる一方で、漏えいした際に個人へ与える影響は大きくなっています。
また、ビジネスや個人の消費活動、SNS等で、情報のやり取りは日常的に行われ、蓄積される情報は多種・大量なデータとなっています。情報のやり取りには、PC端末だけでなく、スマートフォンやタブレット等のスマートデバイスも使われています。
技術革新を踏まえた個人情報の保護と利活用のバランス
経済産業省により積極的に推進されているDX(デジタルトランスフォーメーション)の重要性は高まっており、デジタル化の進展とともに、個人情報の取得・利用・移動が容易になりつつあります。
個人情報の利活用が進む中で、情報漏えいのリスクも高まりました。ビッグデータと言われるように、取り扱う情報データが膨れ上がり、流出したときの被害が甚大になりつつあります。また、万が一、流出した際の回復にも大きなコストが伴います。
越境データの流通増大に伴う新たなリスク
ビジネスのグローバル化の流れから、国境を越えた個人情報のやり取りは日々当たり前に発生し、利活用の範囲が広がっています。個人情報保護法制は各国厳罰化しているが、個人情報の取得・利用・移動について、外国事業者が不適切な取扱いをした場合に明確な罰則が無く、具体的に是正措置を講じることが難しいという課題がありました。
情報のやり取りの自由さ、便利さは、そのまま漏えいリスクに繋がっています。これまで以上に従業員等の個人情報の管理を厳重にする必要があります。
【2022年施行】改正個人情報保護法の6つのポイント
今回の改正によって、個人情報の取り扱いが厳格化し、情報漏えいによって企業が被る損害は大きく、事業者の責任も重くなりました。改正のポイントは大きく6つ挙げられます。
出典:個人情報保護委員会Webサイト 令和2年 改正個人情報保護法について
1)個人の権利拡充 |
|
2)事業者が守るべき責務の強化 |
|
3)事業者の自主的な取り組みの推進 |
|
4)データ利活用の推進 |
|
5)ペナルティの強化 |
|
6)域外適用の拡充 |
|
「情報漏えい対策」における注意すべきポイント
今回の改正個人情報保護法において「情報漏えいリスクの観点」で特に留意したいのは、2)事業者が守るべき責務の強化、5)ペナルティの強化の2点です。
2)事業者が守るべき責務の強化
委員会への報告と本人への通知が義務化
個人情報の漏えい等が発生した場合に個人情報保護委員会への報告と本人への通知が義務化されました。個人情報の漏えいが「不正アクセス等故意によるもの」に該当する事案の場合は、流出した個人情報が1件からでも委員会への報告、本人通知が必要となります。
報告は二段階 速報と確報
委員会への報告は、「速報」と「確報」の二段階あり、事態の発生を認識した後、速やかに「速報」を行い、猶予期間内に「確報」の報告を行わなければならないとされています。猶予期間は、事態の発生を認識してから30日(60日)以内とされています。
※例外として高度な暗号化等の秘匿化がされた個人データは例外として報告、本人通知は不要です。
※不正アクセス等による漏えいの場合は、60日以内の猶予期間を設けられています。
5)ペナルティの厳罰化
罰金刑の上限額が大きく引き上げられました。委員会からの命令違反には最大1億円以下の罰金が科せられ、虚偽の報告、不提出等の報告義務違反があった場合は50万円以下の罰金が科せられるなど厳罰化しています。
これまで、情報漏えい、ウイルス感染の報告や公表はマイナスイメージを与えるため、消極的な企業が多数でした。しかし、今回の改正個人情報保護法の施行により「適切な報告」は企業の社会的責任として対応する必要があり、事実に基づいた、猶予期間内の報告が求められています。
近年、セキュリティインシデントに係わる報告、公表のタイミングは早く、詳細な内容を開示する企業が増えてきています。その対応は、二次被害の拡大、新たな被害を抑えるだけでなく、「企業のセキュリティやコンプライアンス意識が高い」「情報セキュリティ対策をしっかりと行っている」というプラスイメージにも繋がっています。
「どの企業でも情報漏えいは起こり得ること」と認識して、情報漏えいの予防と事後の対応に備えましょう。
【2022年施行】改正個人情報保護法に対応するための対策
では、実際に企業として改正個人情報保護法にどのような対策が必要でしょうか。
情報資産の棚卸し
重要情報がどこに保存されているか、まずは自社の「情報資産の棚卸し」が必要です。個々の業務用PCも含めた個人情報の保有状況を把握して、その上でリスクや課題を整理して効果的な情報セキュリティ対策を策定することが第一歩です。まずは、守るべき情報資産を把握することから始めましょう。
個人情報を流出させない対策と体制強化
①社員への啓蒙及び教育の再実施
今まで認識していた情報だけでは不足しており、社内で一貫したITリテラシーの向上を図ります。
②データ持ち出しへの対策強化・監視
テレワークの普及に伴い情報流出のリスクは増大しており、USBメモリによる流出、PC自体の紛失盗難等も考慮して予防します。
③安易なクラウドサービス利用の抑制
利用サービスのセキュリティレベルや使い方による漏えいリスクを把握した上での利用を推奨します。
④個人任せではなく、組織として一律の制約
制約を敷くことで個人差のないセキュリティ水準を確保します。
予防と事後対応としての「記録」
情報漏えいが起きた時の証拠としても、事後に解析するための手がかりとしても、必要です。
PC端末、サーバーなどの情報機器からの情報取得(操作ログ、アクセスログなど)はほぼ必須と考えて準備をしましょう。台帳など手入力管理は、ヒューマンエラーや社員の負荷増による形骸化にも繋がる為、システム化も視野に入れて対策するのもおすすめです。
「記録」は、欲しい情報がすぐに見つけられる状態にあるのが理想です。企業が求められるスピード感、報告の質への要求は厳しくなる一方です。
事態の把握に時間を要することのないように、社員名や時間帯など特定の条件での検索が素早くできるように、あらかじめ有事に備えた形にしておくことが重要です。
損害リスクの理解と対策
昨今、外部脅威は高まる一方であり、サイバー攻撃等による情報漏えいは起こり得ることと考え、サイバーセキュリティ保険などリスク軽減策の準備も必要となっています。2021年9月10日、日本ネットワークセキュリティ協会(JNSA)がセキュリティインシデントの実例を基にした調査報告「インシデント損害額調査レポート 2021版」を発表しています。個人情報を取り扱う事業者は、インシデント発生時の自社への影響範囲を把握し、情報漏えいの予防と事後の対応に備えましょう。
情報漏えい時にかかる損害コスト
直接コスト | ・事故調査費用 ・復旧および再発防止費用 ・インシデントに伴う直接的な金銭的損害 ・個人情報保護法の命令違反等による罰金 など |
間接コスト | ・損害賠償金 ・弁護士費用 ・調査、事後対応の人的負担、コスト負担 など |
潜在コスト | ・システム停止による事業中断 ・サービス廃止 ・信用低下 ・株価下落 など |
情報漏えいによる損失コストは、企業規模、事業内容により大きく変わります。自社のシステム停止期間にどれくらいの損失があるのか想定しておくと良いでしょう。
『Eye “247” Work Smart Cloud』でできる情報漏えい対策
個人情報の保有状況の確認
『Eye “247” Work Smart Cloud』の『個人情報スキャン』では、マイナンバーなどの個人情報を含むファイルが、どの業務用PCで保持されているか分かります。共有サーバーから業務用PCにコピーされると管理が難しくなり、PCを持ち出した際のリスクが高くなります。重要情報を含む業務用PCを特定し管理することで、情報漏えいのリスクを減らすことができます。
ログ情報の取得
セキュリティ対策に共通した対策として「操作ログ」が挙げられます。『Eye “247” Work Smart Cloud』の『PC操作ログ』では、「いつ」「誰が」「どの端末で」「何をしたか」を記録したデータを取得できます。企業の情報漏えいの一番の原因は、従業員による操作ミスや内部不正だと言われています。従業員の操作ログを把握し管理することで、情報漏えい対策や事後対応ができるだけでなく、社員のセキュリティ意識の向上や内部不正の抑止効果へ繋がります。
様々なログ取得で情報流出経路の動きを記録
『Eye”247” Work Smart Cloud』では、他にも漏えいリスクを低減するログ情報を確認できます。
■『Eye”247” Work Smart Cloud』で取得できる内容
PC操作ログ | パソコンやアプリケーション、ファイル等を操作したログを収集して、誰がどのような操作をしたのかを把握・検索できる |
印刷ログ | 紙媒体による情報漏えいが流出要因であることが大半であり、「いつ・どの端末で・どのプリンターから・何を印刷したか」を把握・検索できる |
URLアクセス監視 | SNS、オンラインストレージへのアクセス、禁止サイトへのアクセスなどWebサイトへのアクセス履歴を把握・検索できる |
USB操作監視 | USBデバイスからのファイルコピー、USBデバイスへのファイルコピー、USBデバイスの差し込み、抜き出しを監視する |
尚、メール送信ログ、ネットワークトラフィックログの確認については、一般社団法人JPCERTコーディネーションセンターが公開しているマルウエアEmotetへの対応FAQにてわかりやすく解説していますのでご参照ください。
ログ情報の検索で知りたい情報を表示
各種ログ情報は絞り込み検索で探しやすく、流出原因の特定の手がかりになります。
内部不正・情報持ち出しリスクの可視化
『Eye”247” Work Smart Cloud』は、情報漏えいの流出経路として特に注意が必要なUSBの使用制限、操作の監視が行えます。また、光学メディアの使用制限や印刷ログなど、幅広く情報漏えいの対策ができます。
PC端末等のIT資産の記録(PC・ソフトウェア)
会社全体の情報セキュリティ水準を一定に保つために、PC端末の稼働状況やソフトウェア等の導入状況を把握する必要があります。 『Eye”247” Work Smart Cloud』は、社内で利用している業務用PCやソフトウェア等のIT資産を管理できます。
外部脅威への対応(OSやソフトウェアのバージョンチェック)
日々、サイバー脅威は高度化、巧妙化しておりますが、侵入経路はほぼ変わっておりません。『Eye”247” Work Smart Cloud』は、OSやソフトウェアのバージョンチェックができます。OSやソフトウェアを常に最新の状態に保つことが、外部脅威リスクの低減に繋がります。
まとめ
2022年施行の改正個人情報保護法では、主に6つのポイントで改正されました。個人の権利拡充や企業への罰則等が強化され、今後、ビッグデータの利活用が進む中で企業の守るべきセキュリティ要件はますます厳しくなるでしょう。
企業が活動を行うために、個人情報を含む情報資産の安全な管理は、企業規模、業種、業務内容に関係なく、各企業にとって事業継続のために重要な課題となっています。
情報漏えいに伴う損害リスクを理解したうえで、個人情報を取り扱う企業として、より一層情報漏えいの予防及び事後の対応に十分に備えていく必要があります。
