個人情報保護法は個人情報の取扱いに関連する日本の法律です。およそ3年ごとに見直されており、2020年3月、政府の個人情報保護委員会は個人情報保護法の改正法案を閣議決定しました。これにより様々な変更が加えられましたが、注目すべき部分は、大分類「事業者の守るべき責務の在り方」における漏えい等報告および本人通知の義務化が正式に発表された、という点です。今回はその義務について詳しく見ていくと共に、それにより企業においてどのような影響が生じるのか検証していきたいと思います。
2020年の「改正個人情報保護法」の主な改正点について
今回の措置は今年成立した「改正個人情報保護法」に基づくものです。個人情報保護法とは個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律で、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定していいます。2015年9月 「改正個人情報保護法」が成立し、2017年5月30日から、個人情報を取り扱うすべての事業者に個人情報保護法が適用されています。さらに2020年6月に新たに改正が決まった「改正個人情報保護法」ではより企業責任を厳格化した措置が盛り込まれました。その主な改正点は以下になります。
改正個人情報保護法の主な変更点
大分類 |
小分類 |
1. 個人データに関する個人の権利の在り方 |
|
2. 事業者の守るべき責務の在り方 |
|
3. 事業者における自主的な取り組みを促す仕組みの在り方 |
|
4. データ利活用に関する施策の在り方 |
|
5. ペナルティの在り方 |
|
6. 法の域外適用の在り方および越境移転の在り方 |
|
7. 官民を通じた個人情報の取り扱い |
個人情報漏えいの際の報告義務化について
それでは個人情報漏えいの際の報告義務化についてもっと詳しく見ていきましょう。個人情報保護委員会は2020年7月16日、不正アクセス等のサイバー攻撃を受けた企業から個人情報が流出した場合、被害者や関係当局への通知を義務化すると明らかにしました。
サイバー被害 通知義務化…個人情報漏洩の全員に 企業の対応不可避
2020/07/16
政府の個人情報保護委員会はサイバー攻撃で個人情報が漏洩した企業に対し、被害が発生した全員への通知を義務付ける。違反には最高で1億円の罰金を科し、悪質な場合は社名も公表する。2022年春にも実施する。対応を誤れば訴訟リスクも高まり、企業は厳密な対応が必要になる。
引用: 日経新聞
これまで個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに報告するよう努めること」としていました。つまり、漏えい等の対応はあくまで努力義務であり、必須ではありませんでした。しかし2012~19年にかけて日本の上場企業とその子会社から漏えい・紛失した可能性のある個人情報は累計8889万人分に上ります。個人情報委員会は事態を重く見て、本人や当局への報告といった個人情報漏えいに対する対応の義務化を踏み切りました。
直近の個人情報漏えい事例
hatsutoki ONLINE STOREクレジットカード情報流出
2020/07/17
弊社が運営するオンラインストアへの不正アクセスによる個人情報流出に関するお詫びとお知らせ
このたび、弊社か運営する「hatsutoki ONLINE STORE」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(最大138件)が流出した可能性があることが判明いたしました。お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が流出した可能性のあるお客様には、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
引用: hatsutoki
サクソバンク証券不正アクセス
2020/07/17
【重要】個人情報流出についてのお知らせ当社が利用する入出金に関する外部ツールへの不正アクセスによる個人情報流出に関するお詫びとお知らせこのたび、外部ベンターが当社向けに開発した入出金ツール(以下、「当該ツール」)におきまして、第三者による不正アクセスを受け、当該ツールを格納するサーバー内に保管された一部お客様の個人情報が流出した可能性のあることが判明しました。
引用: サクソバンク証券
城南進研、一部の顧客情報が流出 不正アクセスで
2020/07/16
城南進学研究社(ジャスダック、4720)は16日、同社の公式ホームページ(HP)を管理しているウェブサーバーに第三者による不正アクセスがあったと発表した。HP内のデータが消失したほか一部の顧客情報が流出した可能性があり、警察が捜査を開始したという。
引用: 日経新聞
牡蠣ECに不正アクセス、クレカ情報491件流出か
2020/07/07
生牡蠣などの生鮮魚介類の加工販売を展開するクニヒロ(株)はこのほど、自社ECサイト「かきのクニヒロ」のシステムの脆弱性をついたことによる第三者の不正アクセスを受け、利用者のクレジットカード情報計491人分が流出したことを確認したと明らかにした。
引用: 通販ニュース
今月報じられたニュースだけでもこれだけ多種多様な業界において、不正アクセス事件と個人情報の流出事例が発生しています。これに対する罰則規定も設けられており、2022年度の春からは不正アクセスによる情報流出などが発生した場合において、当局や被害者への報告を怠った企業に対して最大1億円の罰金も科せられます。
企業にのしかかる責任と負担
こうした不正アクセス事件を引き起こし、個人情報が流出する中適切な対応を講じなかった場合は、前述したように最大1億円の罰金が発生します。また、それに加え発生時の報告義務における調査費用や、個人への賠償金といった企業の負担が増大することが予想されます。NPO日本ネットワークセキュリティ協会が発表した「2018年 情報セキュリティインシデントに関する調査報告書」での一件当たり平均想定損害賠償額は6億3,767万円にも及びました。
事案が発生した場合、原因を突き止めるにはデジタルフォレンジックといった専門の調査が必要になってきます。デジタルフォレンジックとは、犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術のことです。例えば不正アクセスや情報流出が起こった場合は、次のような項目について解析を行います。
- Webアクセス履歴
- ファイル復元
- USB接続履歴詳細(初回接続日時、最終接続日時、シリアル番号、接続毎の履歴)
- ファイルの削除履歴
- ログオン履歴
- 社外宛メールの抽出
- メールの復元(容量制限なし)
- 指定キーワードによるメール検索
- 指定キーワードによるデータ検索(削除されたものを含む)
- 印刷履歴
- リモートデスクトップ履歴
- 不正隠ぺいツールの実行履歴
- 開いたファイルの履歴(USB機器から開かれたものを含む)
- Wi-Fi接続履歴
- ファイルのパスワード解除
- ログの調査
- マルウェアの解析
こうした調査はPC 1台あたり数万円~数十万円にも及びます。加えて金銭的な負担だけでなく、企業の信用も失墜してしまいます。事件が発生してから高額な調査費用や、賠償金に見舞われるよりも「サイバー攻撃はいつでも起こり得る」という危機感の元、適切な防御を日頃から敷いておく方がはるかにコスト面でも理に適った選択肢といえます。