調査から見る法人組織の改正個人情報保護法への対応状況と課題について

法人組織の改正個人情報保護法への対応状況　2022年4月1日、個人情報の保護に関する法律（個人情報保護法）の改正法が全面施行されました。個人の権利の在り方や事業者の守るべき責務の在り方などの視点で改正されており、個人情報を取り扱う事業者は改正法に準拠する必要があります。

トレンドマイクロが2022年3月に実施した法人組織向けの調査（※1）では、施行1ヶ月前にも関わらず、40.6%の法人組織が未完了となっていました。さらに、「対応中であり、4月1日までに完了しない予定」が7.0%、「未対応」が6.5％と、施行開始までの対応が難しい組織が一定数存在することが伺えます。企業規模別で見ると、5,000名以上の法人組織では「対応は完了している」「対応中であり、4月1日までに完了予定」が合計で91.5％となっているものの、企業規模が小さくなるほど対応できてない状況であり、100名～499名の企業では同割合が75.0％となっています。

改正個人情報保護法は個人情報を扱うすべての事業者が対象であり、規模が小さい法人組織も例外ではないため、未対応の組織は早急に対応を進める必要があります。個人情報保護委員会のWebサイトには、中小企業向けのサポートページがあります。ここに中小企業の参考となる情報が集約されていますので、未対応の中小企業等はこれらの情報をもとに、対応を進めていくことを推奨します。
※ 従業員規模100名以上かつ国内事業において個人情報を取り扱っている法人組織で改正個人情報保護法の対応を推進する担当者に対して実施したインターネット調査

個人情報漏洩の発生状況と理由サイバーセキュリティの観点から今回の改正のポイント考えると、最も大きなトピックは「個人情報が漏洩した際の報告の義務化」です。改正前は努力目標でしたが、今回の改正に伴い、企業などで情報漏洩が発生し個人の権利や利益を害する恐れが大きい場合は、政府の個人情報保護委員会と本人に通知が必須となりました。

それでは、企業における個人情報漏洩はどれくらいの頻度で起きているのでしょうか。今回の調査で個人情報漏洩の発生状況を聞いたところ「複数回、発生している」が12.1%、「発生している」が18.3％と、合計30.4％の法人組織で過去１年間に個人情報の漏洩が発生していました。

また、その理由としては、「従業員や委託先による不慮の事故（送信ミスなど）」が49.0%で最多ですが、「従業員や委託先による故意の犯行（内部犯）」が39.1%、「外部からのサイバー攻撃」が32.5%と内外問わず不正な目的をもったサイバー犯罪者による情報漏洩も少なくありません。

個人情報の漏洩を未然に防ぐためにも、メールの誤送信などの不慮の事故を防ぐ対策に加えて、不正な意図を持ったサイバー犯罪者による情報漏洩が発生することを前提としたセキュリティ対策が求められます。例えば、IPAが発行している「組織における内部不正とその対策」では、内部犯による情報の持ち出しの場合、USBメモリが多く用いられるとされています。このような情報の持ち出しを防ぐためには、USBメモリ等の外部記録媒体に関する利用ルールの徹底、および利用制限が有効です。
※ 次の個人情報の漏洩に当てはまるものを対象としています。
「要配慮個人情報の漏洩、財産的被害が発生するおそれがある情報の漏洩」、「不正な目的をもって行われたおそれがある漏洩」、「1000件以上の漏洩」。
要配慮個人情報の例：本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実

報告義務の把握状況と報告のための対応状況前述の通り、今回の法改正では、個人情報漏えいが起こった場合、個人情報保護委員会への報告や本人への通知が義務化されましたが、今回の調査ではこの義務化を把握していない組織が23.1%にも上っています。

また、報告のための体制状況について伺ったところ、「報告先の明確化」は46.9 %、「社内のどの部署が報告、通知するかの明確化」は45.5%、「本人への報告手段の明確化」は27.4%に留まり、漏洩が発生したときの報告の手順や方法が整備されていない法人組織が多いことが明らかとなっています。

図4　個人情報漏えい発生時に個人情報保護委員会や本人に対する報告、通知義務の把握状況

法改正における個人情報漏洩の報告義務は、速報（その時点で把握している事項）と確報（報告が求められる事項を全て報告する）があり、速報は事態を把握した時から5日以内、確報が事態を把握した時から30日以内（不正な目的によるおそれがある個人情報漏洩の場合は60日以内）に報告、通知する必要があります。

報告義務に対応するためには、どの情報が、いつ、どのように漏洩したのか、その原因究明までのスピードを今まで以上に意識する必要があり、平時から、個人情報漏洩発生時の報告手順の整備や体制づくりを行っていくことが求められます。

報告義務の体制と、それができない理由続いて、個人情報漏洩時の迅速な報告について伺ったところ「迅速に通知できる体制になっていない」の回答は15.3%に上りました。体制ができていない理由では、「人的リソース不足」が最多で40.2％。「対応ルールが制定されていない」36.1％、「報告・通知の方法がわからない」25.4％と続いており、人材不足と報告時のフローに課題があることが伺えます。

図7「迅速に通知できる体制ができていない理由」に挙げられているものは、どれも平常時の取り組みが重要になってきます。漏洩時の報告が遅れることで、事態が深刻化し、顧客や株主からの信用失墜にも繋がることを認識して、BCPの一貫として、対策を進めておく必要があります。対応ルールなどが制定されていない組織においては、インシデント訓練を実施しながら、課題認識と改善案の洗い出しを行うことで、対応の方針を決めていくことができます。

上記に加えて、個人情報漏洩時の報告には「原因」と「再発防止のための措置」を盛り込む必要があります。そのため、迅速に報告するには、情報漏洩が発覚した際の原因追究を素早くするための仕組みをこれまで以上に充実させなければなりません。改正法においても、アクセス権限の制御や管理、記録は技術的安全管理措置として講じなければならない事項に含まれています。素早く原因を特定するためには、攻撃の追跡や原因の追究が可視化できる EDR (Endpoint Detection and Response) や XDR (Extended Detection and Response) のようなシステムの導入が有効です。

トレンドマイクロが提供するXDRについて

委託先の個人情報の管理体制についての監査状況法人組織は委託先での個人情報漏洩についても監督責任が発生するため、すべての委託先に対して個人情報の管理状況を監査する必要があります。今回の調査で監査状況について伺ったところ、「すべての委託先の個人情報の管理体制について監査を実施している」と答えた割合は53.0%に留まりました。また、「委託先の個人情報の管理体制について監査を実施していない」が7.8%、「委託先の個人情報の管理体制について監査しているかどうか把握できていない」が4.5%など、委託先の個人情報の管理体制について、監督責任を果たしていない法人企業が一定数存在することも明らかとなっています。

近年、業務上の繋がり（サプライチェーン）がある委託先企業がサイバー攻撃などを受けることによって、取引先から委託された情報が漏洩してしまうケースが日本国内でも複数発生しています。特に、昨今国内での被害が続出しているランサムウェアでは、攻撃者が企業を脅迫するために、企業内の機密情報や個人情報を窃取する傾向があります。事実、2021年には東京都の委託先企業がランサムウェアに感染し、約8,000件の個人情報の漏洩可能性があるとして発表されました。このようなリスクを踏まえた上で、法人組織は委託先の個人情報の管理体制について監査を実施すべきであると言えます。

まとめここまで、改正個人情報保護法への法人組織の対応状況調査の結果から、組織としてどのような対応を進めるべきかを解説してきました。ここまで述べてきた改正個人情報保護法の対応のポイントは今回限りの一過性の取り組みとして認識してはいけません。日々変化する脅威を鑑みながら、個人情報の保管状況や組織の体制などの見直しを定期的に実施していくことが重要です。

また、企業においては個人情報の漏洩や漏洩への対応に、今までより管理責任を問われるようになっています。企業の経営層においては、この認識を高めた上で、改めて自社の個人情報を守るための仕組みや、個人情報が漏洩した場合の体制の検討が求められます。