【最大1億円の罰金?】情報流出事案による公表義務化が2022年春から改正!罰則に備えたセキュリティ対策を解説

お役立ち情報

個人情報保護委員会は、企業側で不正アクセスや個人情報の漏えいなどが発生した際の「情報流出事案(個人情報保護法)」について、被害者や関係当局への通知を2022年春から義務化すると明らかにしました。

これには、サイバー攻撃やマルウェアなどによるセキュリティインシデントが後を絶たない中、企業側の対応が疎かになるケースが浮き彫りになっていることが背景にあります。

結論からいうと、改正後は情報流出事案の報告が義務化されるだけではなく、違反者は最大で罰金1億円を課せられる可能性もあり、企業側はより徹底したセキュリティ対策を迅速に行っていく必要があるのです。

本記事では、情報流出事案についてさらに深掘りしつつ、漏えい時の対応や事前のセキュリティ対策を分かりやすく解説。

最後まで読んでいただければ、上記の内容を理解し、すぐに実践できるようになると思いますので、ぜひ最後までお付き合いいただけると幸いです。

それでは早速、一緒に見てまいりましょう。

情報流出事案の概要

情報流出事案の概要
情報流出事案による公表義務化(個人情報保護法の改正)が執行されると、不正アクセスによる漏えいなどが発生し、個人の権利利益を害する恐れがある場合に、 被害者や関係当局への通知が義務化される見込みです。(ただし、改正後の条件に該当する場合に限る)

個人情報保護法とは?

個人情報保護法とは、個人が持つ権利や利益を守り、かつ情報の有用性に配慮した法律を指します。情報化が急速に進み、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向などを受けて、平成15年5月に公布され、平成17年4月に全面施行されました。

加えて、個人情報保護法は3年ごとに検討され、必要に応じて改正されます。 2020年6月以降、2年以内に新たな法律が施行されるため、内容を理解しながら準備や対応を進めていくことが大切です。

情報流出事案に違反した場合どうなるのか

情報流出事案の報告義務に違反すると、罰則金として最大1億円が課せられるだけではなく、最悪の場合、社名が公開されてしまうことも。また、報告時の期限が設けられる可能性もあり、従来の法律に比べてより罰則が厳格化されています。

違反企業に対して重い罰則を与えることで、個人情報流出の被害を未然に防ぎ、被害者を守ろうとするための試みです。

個人情報保護法が改正された際、必要となる5つのポイント

個人情報保護法が改正された際のポイントは「5つ」あり、規則が全体的に強化されています。

①「保有個人データ」の定義拡大

被害者から開示請求や利用停止請求等の対象となる「保有個人データ」に、取得後6か月以内に消去する短期保存データも含まれるようになります。

②漏えい時などの報告および被害者への通知の義務化

個人情報の漏えい事案が発生した際、関係当局への報告と被害者への通知が義務化されます。

③仮名加工情報の新設【パーソナルデータの利活用】

仮名加工情報とは、個人情報の一部を消したり、変更するなどして、個人であると識別できないように加工した情報を指し、データの利活用を促進する観点から新設されます。

④法の域外適用の強化

日本国内にいる者の個人情報等を取り扱う外国事業者に関しても、罰則および立入調査などの対象となります。

⑤法定刑の引き上げ

個人情報保護委員会に対し、「命令違反」「虚偽報告」などを行った際の法定刑が引き上げられ、法人に対しては最大1億円の罰則金がかされます。(2020年12月施行済み)

上記のポイントを踏まえ、特に企業が認識すべきポイントは②と⑤です。個人情報の漏えいが発覚した場合、金銭的な部分だけでなく、社名公開による企業のイメージダウンに繋がりかねません。

国内における情報漏えい事件の現状とは

国内における情報漏えい事件の現状とは
国内における情報漏えいの被害は、年々深刻化しているのが現状です。不正アクセスや情報漏えいの主な原因とされるサイバー攻撃や、マルウェアは日々進化しており、対象者が攻撃されていることすら気づかないぐらい、巧みに行われているのです。

実際に、2018年の情報セキュリティインシデントに関する調査結果によると、情報漏えいの被害にあった人数はトータルで561万3,797人、一件当たりの平均想定損害賠償額はなんと6億3,767万円にのぼると記載されています。

加えて、情報漏えいの主な原因は、上位10件中8件を占めた「不正アクセス」であり、これは2013年以降平均して多い傾向にあります。また、情報漏えいの被害にあっている主な業種は「情報通信業」であることも明らかになりました。

以上の結果から、情報漏えいの被害として高い割合を占めている「不正アクセス」をいかに未然に防ぐかが、今後の課題となってくるでしょう。

情報漏えいした際の特定はどうしたらいい?

情報漏えいした際の特定はどうしたらいい?

万が一、不正アクセスによる情報漏えいが発生した際の特定は、一体どのようにすれば良いのでしょうか。結論からいうと、企業ごとに差はあるかとは思いますが、一般的に、最初はログの調査から行うのがベターです。

しかし、不正アクセスは多くの場合、特定されないように攻撃者がログを消去している場合がほとんどですので、それぞれの場合にわけてみていきます。

ログから漏えいしたファイルを特定でき、サーバーまたは端末上にファイルが存在する場合

ログが残っている場合は、最初に各種ログの調査から行います。例えば、ネットワークのアクセスログやファイルサーバーのログです。

ログから持ち出されたファイルが特定でき、実際にサーバ内、もしくは端末上に情報が削除されずに残っているかを確認。確認できるファイルを調査すれば、どの情報が漏えいしたのか特定が可能になります。

ログから漏えいしたファイルの特定は可能だが、サーバーまたは端末上にファイルが存在しない場合

サーバーまたは端末上にファイルが存在しない場合は、削除されたファイルを復元するしかありません。バックアップを使用したり、エンドポイントフォレンジックのような専用の復元ツールを持っていれば、漏えいした情報を特定することが可能です。

ログが完全に消去されている場合

完全にログが消去されている場合は、不正アクセスの通信記録があるかどうかが鍵となります。記録が残っていれば、通信を復元し、どのような情報が漏えいしたかを特定することが可能です。

ログが完全に消去されており、通信記録も保持していない場合

ログが消去されており、記録も残っていない最悪の場合は、専門のフォレンジック業者に調査依頼をすることになります。

ネットワークフォレンジック対策

「ネットワークフォレンジック」とは、不正侵入の検知・攻撃の監視・企業の内部統制などに用いられるデジタル鑑識のひとつを指し、主にセキュリティインシデントの発生源を発見するために、ネットワーク上のログや通信データを記録、分析、保持するものです。

ネットワークフォレンジックを行うメリットとして、主に下記の4つがあげられます。

①必要なデータを確保することが可能

セキュリティインシデント発生時、裁判所などの専門機関へ必要な情報が提供できなければ、証拠不十分とされる可能性も。一方で、ネットワークフォレンジックを利用すると、必要なデータを確保でき、訴訟リスクの軽減にもつながります。

②企業のコンプライアンス上のリスクを把握

セキュリティインシデント発生時、企業側に求められるのが、コンプライアンス対応です。ネットワークフォレンジックを行えば、コンプライアンス上のリスクに関する状況を把握でき、被害を最小限に抑えることが可能となります。

③インシデント発生時に迅速な対応ができる

ネットワークフォレンジックは、セキュリティインシデント発生時、パソコンのセキュリティ上の脆弱性に対して速やかに対応してくれるため、以降同様なインシデントが発生しないための対策が行えます。

個人情報などの漏えいは、企業の社会的信用や財産を大きく失うことになります。しかし、ネットワークフォレンジックを使って迅速かつ適切なインシデント対応を行えば、信用の回復にもつながるでしょう。

④内部不正の抑制につながる

企業の情報漏えいの中には、内部による犯行が行われるケースも珍しくありません。自社内にネットワークフォレンジックを導入することで、個人情報や知的財産などの情報漏えいを未然に防ぎつつ、抑止力としても機能します。

ネットワークフォレンジックは上記のようなメリットがあります。しかし、専用の機器の導入や、業者に依頼するとなると、数万〜数百万のコストがかかり、企業側にとっては大きな負担になりかねません。

また近年は、インシデント発生時の経済的な損失をカバーするサイバー保険なども登場していますが、国内においては導入が進まず、企業全体のうち1割程度の加入率にとどまっている現状が指摘されています。

では、情報漏えいを未然に防ぐために私たちができる対策とは、一体何があるのでしょうか。

情報漏えいを防ぐためには、事前のセキュリティ対策が必須!

情報漏えいを防ぐためには、事前のセキュリティ対策が必須!
先ほどまで、個人情報保護法の改正や、情報漏えいの現状および対策について解説をしてきました。もちろん、情報漏えい時の対策も必要ですが、一番大切なのはインシデントを未然に防ぐための徹底したセキュリティ対策だと言えるでしょう。

セキュリティ対策におけるルールを決めを行い、遵守する

従業員の教育

技術者の確保、補充

ウイルス対策ソフトの新規導入または更新

UTMの導入

上記5点が対策としてあげられます。時間やコストもかかってきますが、情報漏えいをした際に受ける被害を想定してみてください。しっかりと想定できれば、「検討」「放置」「未対策」といった選択肢はなくなるのではないでしょうか。

なお、この記事を読んでいただいている方の中には、
①テレワークを導入しているが、セキュリティ対策ってどうすればいいんだろう…
②有料版のウイルス対策ソフトを導入したいが、コスト面で難しい…
③UTM機器って高額だし、拠点ごとの機器設置に手間がかかる…

このようなお悩みを抱えている方もいらっしゃるかもしれませんが、ご安心ください。①②に関しては下記の記事にて詳しく解説しておりますので、一度目を通していただくと何か掴めるものがあるかもしれません。

①に関してお悩みの方向けの記事
②に関してお悩みの方向けの記事

なお、③につきましては、最後に後述する「オススメのUTMサービス」をご紹介します。

最後に

まとめ
現在、ウイルス対策ソフトのみでセキュリティ対策を行っている企業も一定数存在していますが、それだけでは内部のウイルス対策はできても、外部からのインシデントを防ぎきれません。

そのために、UTM(統合脅威管理)とよばれるコンピュータウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法も必要となってきます。

つまり、「ウイルス対策ソフト+UTM」の導入が端末のセキュリティ対策としてとても重要なのです。

クラウド型UTMサービス「どこでもUTM」のご紹介

どこでもUTM
UTMは様々な機能を1台でまとめて行える反面、専用の機器をルータ上下に設置、または、ルーターとして設置する必要があるため、多少の手間がかかってしまいます。

しかし、クラウド型UTMであれば、専用ソフトをDLするだけ。機器を設置するまでの手間が一切かかりません。

弊社で行っているクラウド型UTMサービス「どこでもUTM」は、既存のUTM機器に備わっている各種機能はもちろんのこと、自己申告の勤怠管理とパソコンの業務時間で客観的な業務把握が可能な「EYE247」や新種のEmotetやランサムウェアへの感染対策技術「FFRI yarai」を必要に応じてご提供いたします。

つまり、「どこでもUTM」ならクラウド上でオフィスと同等レベルのセキュリティ対策が高コストパフォーマンスで使用可能です。

繰り返しになりますが、情報漏えいを防ぐための対策として事前の徹底したセキュリティ対策はもはや必須です。セキュリティ対策が疎かになっていると、正直いつ情報漏えいが起きてしまってもおかしくありません。

情報流出事案は2022年春に施行されるため、迅速な対策が求められます。個人情報を取り扱う「全事業者」が対象となる法律です。この機会に、個人情報の管理を適切に行うために必要な弊社のUTMサービスをぜひ一度ご検討ください。

どこでもUTM

参考サイト

日本ネットワークセキュリティ協会
Cyber Security.com
株式会社ネットワークバリューコンポネンツ
ーアルシーセキュリティブログー

オンライン無料相談受付中

無料で試してみる

関連記事

おすすめの記事

ページトップへ

ページトップへ