青山システムコンサルティングのコンサルティングコラムです

TEL:03-3513-7830|お問い合わせ

コラムカテゴリー:

■はじめに

個人情報保護法は、2015年の改正時に「3年ごとに制度を見直す」ということが規定されました。それにより、2020年6月に3年ごとの見直しに基づく改正が公布されて、2022年4月に施行されました。

私が考える今回の改正におけるポイントは、以下のとおりです。

  1. 本人による利用停止等に関する請求可能範囲が拡大された
  2. 漏洩等発生時に事業者から個人情報保護委員会への報告および本人通知が義務化された
  3. 「仮名加工情報」が定義されて利用範囲が規定された
  4. Cookie等の個人関連情報利用の本人同意が義務化された
  5. 違反時の罰則が重くなった

詳細は「令和2年 改正個人情報保護法について」(個人情報保護委員会)にまとめられていますので、気になる方はご参照ください。
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

上記の「2.」については「誰が何をするべきか」が記載された、社内の業務フローを変更する必要があります。

■漏洩等発生時の業務フロー

漏洩等が発生したときに、以下の条件に当てはまる場合には、個人情報保護委員会に報告が必要になります。(漏洩等・・・漏洩、減失または毀損)

  • 要配慮個人情報の漏洩等または漏洩等のおそれ
    • 例:病歴、犯罪の経歴など(学歴や職業的身分などは対象外)
  • 財産的被害のおそれがある漏洩等または漏洩等のおそれ
    • 例:クレジット番号など(住所や電話番号、メールアドレスなどは対象外)
  • 不正目的によるおそれがある漏洩等または漏洩等のおそれ
    • 例:不正アクセスによる個人データの流出など
  • 1,000件を超える漏洩等または漏洩等のおそれ
    • 例:サーバーの設定ミスで個人データの閲覧権限が開放されるなど

漏洩等を検知したら、まずはこれらに該当するか否かをチェックすることが必要になります。該当した場合には、速報と確報の二段階で報告をする必要があります。

<速報> 検知から3~5日以内:報告時に把握している内容
<確報> 検知から30日以内(不正目的の場合は60日以内):全ての報告事項 

また、対象の個人に対しても通知をする必要があります。通知方法は、「本人にとって分かりやすい方法」とされており、例えば「文書の送付」「電子メールの送信」などが考えられます。ただし、通知が困難な場合には、「ホームページ等での公表」「問合せ窓口の設置」といった代替措置を講じることが可能であるとされています。

「インシデント発生時の業務フロー」に類するものが、社内で規定されている企業が多いかと思いますが、上記を踏まえて変更をする必要があります。速報までの期間が短いため、迅速に対応できるようにすることが望まれます。

■サイバー攻撃の対策

報告対象の条件に「不正目的による」がありますが、いわゆるサイバー攻撃を受けたときに、そもそも検知をしたり、被害範囲の切り分けをすることができますでしょうか。

大企業であればUTM(統合脅威管理)等のセキュリティ対策ソリューションを導入しているところも多いですが、中小企業ではファイアウォールが導入されていないことも少なくありません。もちろん、これらのセキュリティ製品を導入し、適切に運用管理することを薦めたいのですが、実態としては体制やコストの問題で難しいことも理解しています。

そういった企業では、最低限のシステムと社員教育で対策をするしかありません。私が考える最低ラインは以下になります

  • 社員が使用している端末のOSおよびウィルスソフトの定期的な更新
  • 怪しいメールは決して開封しない
  • 個人データを端末の中に保存しない(業務利用したら迅速かつ適切に破棄する)
  • パスフレーズを「長く」「複雑な」文字列にする

最低ラインと述べましたが、仮に高額で多機能なUTMが導入されていても、これらを実施する必要があります。特に、「個人データを端末の中に保存しない」を徹底できなければ、漏洩等の範囲を特定するための時間と工数が膨らみます。場合によっては、社内の全端末を解析(デジタルフォレンジック)しなければならないこともあります。デジタルフォレンジックの相場は、1台あたり100万円以上になりますので、そういったコスト意識も教育に組み込むことが肝要です。

■まとめ

サイバー攻撃もセキュリティ事故も完全に防ぐことはできません。その前提に立った上で、漏洩等が発生した時に何をするべきか、また、するべきことを小さくするために日常から出きることが何か、規程として整理しておくことが重要です。

また、規程が存在するだけでは、実際に発生したときに行動できません。規程を社内で共有し、定期的に社員同士で相互チェックや訓練を行うなど、意識を高める施策を継続的に実施していってください。

法改正は個人情報保護法に限ったことではなく、今後も随時発生します。その都度、規程および運用の変更を検討し、適切に対応していきましょう。

関連サービス

2022年08月05日 (金)

青山システムコンサルティング株式会社

長谷川 智紀