SBTのスベテ

「個人情報漏えい時の本人通知義務化」の2022年開始に向けて

伏見 修一

2020年7月16日、政府の個人情報保護委員会より「サイバー攻撃による個人情報漏えい時の本人通知義務化」に関する方針が発表されました。

現状の個人情報保護法では、不正アクセスや個人情報漏えいが発覚した場合、本人への通知は「努力義務」とされているため、対象者へのメール通知やサイト上でのアナウンスなど、企業により対応のばらつきがあります。しかし、今後は「努力義務」から「義務化」に変更される事で、企業における個人情報の取り扱いについて、改めて見つめ直す必要があると注目されています。

これは、2020年6月5日に参議院本会議で可決・成立した「個人情報保護法改正」(新22条2)に記載されている、「漏えい等が発生し、個人の権利利益を害するおそれがある場合(一定数以上の個人情報データの漏えい、一定の類型に該当する場合に限定)に、委員会への報告及び本人への通知を義務化する」を受けての方針です。現時点では、以下の情報が明らかになっています。

  • 2022年春より施行
  • 違反時は最高1億円の罰金
  • 悪質な場合は社名を公表

これ以上の詳細は、規則案(2021年始め頃)やガイドライン案(2021年5月頃)などで公表するとされています。

参考:個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf

個人情報漏えいの発生原因

NPO日本ネットワークセキュリティ協会(JNSA)の発表する「2018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編~ (速報版)」では、個人情報漏えいの原因の約50%が「紛失・置き忘れ、誤操作」とされています。しかし、漏えい件数の TOP10 事案では、8件が不正アクセスによるものとなっています。

つまり、被害件数の多い大規模な個人情報漏えいは、悪意ある不正アクセスによる発生確率が高く、個人情報漏えい事故全体の件数は、自責ミスによる発生確率が高いと言えます。

現時点で、通知義務にあたる基準は明確でありませんが、漏えいの原因として考えられる上記2点への対応を見直すべきです。

参考:2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~(速報版)
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

まず行うべき「情報の整理と保護状態の把握」

まずは、「情報の整理と保護状態の把握」を行い、現状を理解しましょう。

「情報の整理」という観点では、個人情報がどこにあるのか?を明確にし、業務フローを再確認することです。合わせて注意すべき点としては、データだけでなく、書類等の紙媒体も範囲に含める必要があります。

個人情報がどこに存在し、業務フローを追う事で、抽出後のダウンロードデータや印刷による紙媒体等の複製物の存在を把握します。また、それらの複製物がどのように削除・破棄されるかまでを整理します。

「保護状態の把握」という観点では、個人情報がどのように保護されているのか?を明確にすることです。情報にアクセス出来る権限や複製出来る権限の範囲と、その権限を付与管理する管理者権限を把握し、それらが正しく運用されている事を確認する必要があります。

対象がデータの場合、暗号化状態での保管や情報取得者以外の閲覧制限など、漏えいした場合でも保護機能を有していれば影響範囲が制限されるため、技術的観点でも把握が必要です。

情報の整理と保護状態の把握を行った上で、悪意ある不正アクセスと自責ミスによる情報漏えいのリスク評価を行い、適切な対策を検討しましょう。

CSIRT の構築支援サービスに関する資料請求・お問い合わせはこちら


情報漏えい時に通知出来る事が重要

ここまでは、情報漏えいを防止する為の施策を記載しましたが、今回の法改正によって、最も重視すべきは「本人への通知義務」=「被害範囲の特定」が出来なければならない、という点だと考えています。

例えば、紛失した PC 上に保存されていた Excel の個人情報一覧表が漏えいした場合、その PC に、どの情報がどれだけ保存されていたのか?が特定出来ない限り、「本人への通知」が出来ません。

これはサイバー攻撃による漏えいであっても同様で、何時のどのような攻撃によって、どの情報がどれだけ漏えいしたか?が特定出来る事が必須となります。

我々のチームでは、インシデント発生後にインシデントレスポンスとして調査分析の依頼を頂くことがありますが、お客様が現状を把握されていなかったり、追跡するログが不足している場合が多々あります。このような場合は、コストや時間をどれだけかけても、調べる事が出来ません。

今回、題材に挙げた「個人情報漏えい時の本人通知義務化」では、漏えいした範囲が特定出来ないので、本人へ通知出来ません。という言い訳は出来なくなりますので、改めて、情報の取り扱いについて再考いただき、2022年の法施行に向けて準備をご推奨いたします。

さいごに

当社では、インシデントの事前・事後に対応を行う CSIRT の構築支援サービスや、システムの中に潜む脆弱性を調査するセキュリティ診断サービスなどをご提供しています。

セキュリティに関してご心配ごとなどございましたら、ぜひお気軽に当社までご連絡ください。



関連ページ

CSIRT 構築支援サービス
セキュリティ診断サービス

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録