- About Trend Micro
- プレスリリース
- 改正個人情報保護法における法人組織の実態調査
改正個人情報保護法における法人組織の実態調査
~施行1ヶ月前で4割以上が改正個人情報保護法の対応が未完了、過去1年間に3割以上で個人情報漏洩が発生~
2022年3月30日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、国内事業において個人情報を取り扱っている法人組織で改正個人情報保護法の対応を推進する担当者800名を対象とした「改正個人情報保護法における法人組織の実態調査」の結果を発表したことをお知らせします。
2022年4月1日に改正個人情報保護法が施行されます。個人情報を取り扱うすべての事業者がその対象となり、施行開始までに法改正への対応を完了する必要があります。しかし、今回の調査では、40.6%の法人組織は施行1か月前の2022年3月時点で法改正への対応が完了していないことが明らかになりました。また、過去1年間に個人情報の漏洩が発生した法人組織が30.4%あるにも関わらず、今回の法改正で新たに追加された個人情報漏洩時の報告の義務化を把握していないと回答した割合は23.1%にのぼることがわかりました。本調査の結果は以下のとおりです※1。
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。調査対象の組織は重複している可能性があります。
1. 施行1ヶ月前で4割以上が改正個人情報保護法の対応が未完了
本調査の結果、施行1か月前の2022年3月時点で法改正への対応が完了していると回答した割合は59.4%であり、40.6%は対応が未完了でした。また「対応中であり、4月1日までに完了しない予定」が7.0%、「未対応」が6.5%と、法改正への対応が進んでいない法人組織が一定数あることがわかりました。企業規模別で見ると、5,000名以上の法人組織では「対応は完了している」「対応中であり、4月1日までに完了予定」が合計で91.5%となっているものの、企業規模が小さくなるほど対応できてない状況であり、100名~499名の企業では同割合が75.0%となっております。企業規模に関わらず、改正個人情報保護法の対応は必須となるため、中小企業であっても、個人情報を取り扱う上で法対応を進めることが求められます。
●図1:あなたの所属している法人組織の改正個人情報保護法への対応状況を教えてください。(単一回答)
2.過去1年間に3割以上で個人情報漏洩が発生
過去1年で、個人情報の漏洩が発生したか聞いたところ「複数回、発生している」が12.1%、「発生している」が18.3%と、合計30.4%の法人組織で個人情報の漏洩が発生していることが明らかとなりました。その理由では「従業員や委託先による不慮の事故(送信ミスなど)」が49.0%で最多となっていますが、「従業員や委託先による故意の犯行(内部犯)」が39.1%、「外部からのサイバー攻撃」が32.5%と内外問わず不正な目的をもったサイバー犯罪者による情報漏洩が発生している実情が明らかになりました。個人情報を扱う法人組織においては、メールの誤送信などの不慮の事故を防ぐ対策に加えて、不正な意図を持った情報漏洩が発生することを前提としたセキュリティ対策が求められます。
●図2:過去1年間、あなたの所属している法人組織において、次のいずれかにあてはまる個人情報の漏洩が発生したことはありますか。「要配慮個人情報の漏洩、財産的被害が発生するおそれがある情報の漏洩」、「不正な目的をもって行われたおそれがある漏洩」、「1000件以上の漏洩」。要配慮個人情報の例:本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実(単一回答)
●図3:どのような理由で個人情報が漏洩しましたか。(複数回答)
3. 2割以上が個人情報漏洩時の報告義務を把握していない
今回の法改正では、個人情報漏洩が起こった場合※2、個人情報保護委員会への報告や本人への通知が義務化されました。この義務化について、把握しているか聞いたところ23.1%が義務化を把握できていなかったと回答しています。
※2 ガイドラインに定める条件を満たした場合
さらに、個人情報漏洩が発生した場合の個人情報保護委員会や本人に対して迅速に通知するための対応を聞いたところ、「報告先の明確化」は46.9 %、「社内のどの部署が報告、通知するかの明確化」は45.5%、「本人への報告手段の明確化」は27.4%に留まり、漏洩が発生したときの報告の手順や方法が整備されていない法人組織が多いことが明らかとなりました。適切に対応を進める上でインシデントの発生を想定した訓練も重要になりますが「個人情報が漏洩したことを想定した対応訓練」は28.3%に留まり、取り組んでいる法人組織は決して多くありません。法改正における個人情報漏洩の報告義務は、速報(その時点で把握している事項)と確報(報告が求められる事項を全て報告する)があり、速報は事態を把握した時から5日以内、確報が事態を把握した時から30日以内(不正な目的によるおそれがある個人情報漏洩の場合は60日以内)に報告、通知する必要があります。そのため、どの情報が、いつ、どのように漏洩したのか、その原因究明までのスピードを今まで以上に意識していかなければなりません。法人組織は平常時において、個人情報漏洩発生時の報告手順の整備や体制づくりを行っていくことが求められます。
また、個人情報の漏洩リスクを低減することや悪用防止の観点から、個人情報へのアクセス権限の付与は必ず設定しておくべきですが、「(個人情報が保存されているサーバへの適切な)アクセス権限の付与」を行っている割合は54.8%と約半数の法人組織が対応ができていない状況が明らかとなりました。社外からのサイバー攻撃や内部犯行者による情報の持ち出しを防ぐためには、アクセス権限の設定に加えて、不必要なアプリケーションや外部ストレージの利用を制限する対策が有効です。
加えて、不審な通信を把握するための「アクセスログの監視」や、万が一情報が漏洩した際にその原因を調査する「EDR(Endpoint Detection and Response)・XDR(Extended Detection and Response)」などの導入が効果的ですが、本調査では「アクセスログの監視」が30.9%、「EDRやXDRの導入」が13.0%に留まり、それぞれ導入が進んでいない状況であることがわかりました。改正個人情報保護法においては、個人情報が漏洩しないための対策と万が一個人情報が漏洩してしまった際にその原因などを追跡するための対策の両面が求められます。
●図4:今回の改正によって、あなたの所属している法人組織や個人情報の委託先において、次のいずれかにあてはまる個人情報漏洩が発生した場合、個人情報保護委員会や本人に対して速報(5日以内)、確報(30日もしくは60日以内)を知らせる義務が発生したことを把握していましたか。
要配慮個人情報の漏洩、財産的被害が発生するおそれがある情報の漏洩、不正な目的をもって行われたおそれがある漏洩、1000件以上の漏洩。 要配慮個人情報の例:本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実(単一回答)
●図5:あなたの所属している法人組織や個人情報の委託先において、個人情報漏洩が発生した場合、個人情報保護委員会や本人に対して迅速に報告・通知するために、これらの対応は行っていますか。(複数回答)
●図6:あなたの所属している法人組織において個人情報が漏洩しないための対策、または個人情報が漏洩してしまった際にその原因を追跡するための対策として、どのような取り組みを実施していますか。(複数回答)
4. すべての委託先の個人情報の管理体制について監査している割合は約半数
企業は委託先での個人情報漏洩についても監督責任が発生するため、委託先に対して個人情報の管理状況を監査する必要があります。本調査で、委託先の個人情報の管理体制について聞いたところ「すべての委託先の個人情報の管理体制について監査を実施している」と答えた割合は53.0%に留まりました。また、「委託先の個人情報の管理体制について監査を実施していない」が7.8%、「委託先の個人情報の管理体制について監査しているかどうか把握できていない」が4.5%など、委託先の個人情報の管理体制について、監督責任を果たしていない法人企業が一定数いることが明らかとなりました。近年、業務上の繋がり(サプライチェーン)がある委託先企業がサイバー攻撃などを受けることによって、取引先から委託された情報が漏洩してしまうケースが日本国内でも多発しています。このようなサプライチェーンにおけるサイバーセキュリティリスクに対応する上で、法人組織に必要なセキュリティの考えとして、自組織の安全性を担保することと、取引先の安全性を確認することが不可欠となります。
●図7:委託先の個人情報の管理体制について監査を実施していますか。(単一回答)
改正個人情報保護法をサイバーセキュリティの視点で見ていくと、外部からのサイバー攻撃であろうと内部犯行であろうと、攻撃や犯行が起こることを前提にゼロトラストアーキテクチャの考え方を踏まえた対策や、万が一個人情報が漏洩した際にその原因を追跡することが求められます。また、個人情報の委託先などサプライチェーンを鑑みて、自組織の安全性を担保することと、他組織の安全性を確認することが重要と言えます。
~サイバーセキュリティの視点で考える~改正個人情報保護法の施行前に企業が対応すべきことは?