サイバーセキュリティの視点で考える、改正個人情報保護法の施行前に企業が対応すべきことは?
2022年4月1日に「改正個人情報保護法」が施行されます。改正個人情報保護法の施行前に、サイバーセキュリティの視点から企業がどのようなポイントを考慮し、改正法に対応していくべきかを考察します。
改正個人情報保護法 ✖ サイバーセキュリティ
考えるべき3つのポイント2022年4月1日に「改正個人情報保護法」が施行されます。改正個人情報保護法の施行前に、サイバーセキュリティの視点から企業がどのようなポイントを考慮し、改正法に対応していくべきかを考察します。
サイバーセキュリティの視点で考えるべきポイントは大きく分けて3つあります。
各項目について一つずつ見ていきましょう。
サイバーセキュリティの視点からみた3つのポイント
1. 情報の棚卸と利用目的の明確化
2. 個人情報の保存場所とアクセス権限
3. 個人情報漏えい時の報告義務
1. 情報の棚卸と利用目的の明確化今回の法改正に伴い新たに公表されたガイドライン(※1)では、個人情報を取得する際、本人が予測・想定できる程度に、より具体的に利用目的を通知しなくてはならない、ということが含まれています。
そのため、企業側は今まで以上に利用目的を明確にした上で、個人情報を取得する必要があります。
また、6ヶ月以内に消去する短期保存データにおいても、個人情報を取得した本人から開示請求があった場合に対処する必要があるなど、開示請求への対応が厳密化されました。
このような利用目的の通知やユーザからの開示請求に迅速に対応するためにも、法改正のタイミングで自社が取得している個人情報、およびその利用目的について改めて棚卸しすることを推奨します。
※ 改正個人情報保護法ガイドライン (https://www.ppc.go.jp/personalinfo/legal/)
個人情報保護法改正に伴う棚卸項目の例
・個人情報の取得方法(Webサイト、メール、紙の書面など)
・取得する個人情報の項目(氏名、メールアドレス、住所、電話番号、個人関連情報など)
・個人情報の取得目的(製品に関する問い合わせ対応など)
・個人情報取得時に明示している内容
・Web閲覧履歴を用いて、趣向に応じた製品やサービスの提案(広告表示など)を行っているか否か
・該当の個人情報にアクセス可能な人物の特定
2. 個人情報の保存場所とアクセス権限(海外での個人情報の取り扱い)2つ目のポイントは“海外での個人情報の取り扱い”、つまり日本国内で取得した個人情報を海外に移転(海外にデータを保存、もしくは海外からアクセスが発生)する場合についてです。
海外に個人データを移転する場合、海外の法律が適用されることがあります。ビジネスを推進するためにグローバル展開などを行っている国内企業も複数ある中で、海外の法律と日本国内の法律への対応のバランスや、経済安全保障の観点を踏まえて、どのように対応するかを考える必要があります。
3. 個人情報漏えい時の報告義務改正個人情報保護法をサイバーセキュリティの視点で読み解く上で、最も重要な要素の1つが“個人情報漏えい時の報告義務”です。今まで努力義務と解釈されていた個人情報保護委員会への報告や本人への通知が、今回の改正で義務化されました。(※ガイドラインに定める条件を満たした場合)
また、法令違反や個人情報保護委員会に対する虚偽報告等があった際の法定刑もあわせて引き上げられました。例えば、個人情報保護委員会から命令を受けた者が命令に違反した場合、法人企業であれば従来の30万円以下の罰金から1億円以下の罰金に引き上げられるなど、罰則が大幅に強化されています。
今回義務化された個人情報漏えいの報告義務は速報と確報に分かれており、それぞれに期日が定められています。
| 種類 |
期日 | 報告内容 |
|---|---|---|
| 速報 |
5日以内 ※報告対象事態を知った時から |
その時点で把握している事項 |
| 確報 | 30日以内 ※報告対象事態を知った時から ※不正目的によるおそれがある漏えい等の場合は60日以内 |
報告が求められる事項を全て報告する |
企業はどのような対応を行っていくべきなのかここからは、個人情報の取り扱いについて、今後どのような対策を具体的に講じていくべきか解説します。
個人情報が漏えいしないための対策まずは、個人情報の漏えいを未然に防ぐことが重要です。データの棚卸しを進めるとともに、データの保存環境、アクセス権限などが適切になっているかの定期的な見直しは、個人情報を取り扱う上では必要不可欠です。
また、情報漏えいを防ぐためのシステムの導入、操作ミスや設定不備による漏えいの対策を講じていく必要があります。以下では、個人情報の漏えいを未然に防ぐための代表的な対策例を挙げています。
| エンドポイント(PCやサーバ)やゲートウェイに おけるセキュリティ対策製品の利用 |
個人情報が保存されたサーバや、従業員が利用するPCやメール、ネットワークなどに適切なセキュリティ対策を実施し、外部からの攻撃による情報漏えいを防ぎます。 |
|---|---|
| 適切なアクセス権の付与 | 役割に応じた適切なアクセス権の管理を行い、攻撃の横展開や内部犯行を最小限に防ぎます。 |
| データの持ち出し対策 | 不審なサーバへの通信をブロック、USBメモリの利用制限やアプリケーションコントロールなどを用いることで、個人情報の外部流出を防ぎます。 |
| 個人情報の暗号化 | 万が一個人情報が漏えいした場合でも、あらかじめデータの暗号化を行っておくことで、サイバー犯罪者にデータを閲覧、悪用されることを防ぎます。 |
| ゼロトラストアーキテクチャの考え方を踏まえた対策 | 多要素認証の導入やアクセスログを監視することで、意図しないログインや普段のアクティビティと異なるログが検出された際の適切なアクセス管理をサポートします。 |
個人情報が漏えいした際に必要な原因究明への備え万が一、情報が漏えいした場合には、下記の報告内容をまとめ、本人や個人情報保護委員会に期日までに報告する必要があります。そのため、どのような情報が、いつ、どのように漏えいしたのか、その原因究明までのスピードを今まで以上に意識していく必要があります。このスピードを上げていくためには、攻撃の追跡や原因の追究が可視化できる EDR (Endpoint Detection and Response) や XDR (Extended Detection and Response) のようなシステムの導入が有効です。EDRやXDRは自動車のドライブレコーダーや飛行機のブラックボックスのようなもので、何かインシデントが起こった際にEDRやXDRが記録している情報を解析することで、インシデントの原因を突き止めることができます。
個人情報漏えい時の報告内容
・インシデントの概要
・漏えい等が発生し、又は発生したおそれがある個人データの項目
・漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
・情報漏えいの原因
・二次被害又はそのおそれの有無及びその内容
・本人への対応の実施状況
・公表の実施状況
・再発防止のための措置
・その他参考となる事項
個人情報漏えい発生時の報告手順の見直しと体制作り組織としてどのように情報漏えいに対応していくかの指針が無ければ、迅速かつ適切な対応はできません。企業は、個人情報漏えい発生時の報告手順の見直しや体制作り、さらには訓練を行っていくことが求められます。平常時には以下の項目について、対応できているかを定期的に見直すことが重要となってくるでしょう。
情報漏えいが発生した際に迅速に対応するために、平常時に行っておくべきこと
・どのような個人情報が漏えいした際に報告、通知する必要があるかの明確化
・報告、通知する項目の明確化
・報告先の明確化(個人情報保護委員会のどの窓口に報告する必要があるか)
・社内のどの部署が報告、通知するかの明確化(個人情報保護委員会とやり取りする部署の明確化)
・個人情報が漏えいしたことを想定した対応訓練
・本人への報告手段の明確化(どのようなツールを用いて報告するのか)
改正個人情報保護の対応は一見すると手間がかかるように思えるかもしれませんが、企業として行うべきことを棚卸できる良い機会ととらえ、この機会に対応を進めることをお勧めします。
※本ページは、トレンドマイクロが個人情報保護委員会等が公開した資料等に基づき作成したものですが、内容について正確性、完全性を保証するものではありません。貴社の法務部門、顧問弁護士等にご確認ください。
更新日:2022年5月9日
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
