「個人情報漏えい時の本人通知義務化」の2022年開始に向けて

個人情報漏えいの発生原因

NPO日本ネットワークセキュリティ協会（JNSA）の発表する「2018年 情報セキュリティインシデントに 関する調査結果 ～個人情報漏えい編～ (速報版)」では、個人情報漏えいの原因の約50%が「紛失・置き忘れ、誤操作」とされています。しかし、漏えい件数の TOP10 事案では、8件が不正アクセスによるものとなっています。

つまり、被害件数の多い大規模な個人情報漏えいは、悪意ある不正アクセスによる発生確率が高く、個人情報漏えい事故全体の件数は、自責ミスによる発生確率が高いと言えます。

現時点で、通知義務にあたる基準は明確でありませんが、漏えいの原因として考えられる上記2点への対応を見直すべきです。

参考：2018年 情報セキュリティインシデントに関する調査結果 ～個人情報漏えい編～(速報版)
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

まず行うべき「情報の整理と保護状態の把握」

まずは、「情報の整理と保護状態の把握」を行い、現状を理解しましょう。

「情報の整理」という観点では、個人情報がどこにあるのか？を明確にし、業務フローを再確認することです。合わせて注意すべき点としては、データだけでなく、書類等の紙媒体も範囲に含める必要があります。

個人情報がどこに存在し、業務フローを追う事で、抽出後のダウンロードデータや印刷による紙媒体等の複製物の存在を把握します。また、それらの複製物がどのように削除・破棄されるかまでを整理します。

「保護状態の把握」という観点では、個人情報がどのように保護されているのか？を明確にすることです。情報にアクセス出来る権限や複製出来る権限の範囲と、その権限を付与管理する管理者権限を把握し、それらが正しく運用されている事を確認する必要があります。

対象がデータの場合、暗号化状態での保管や情報取得者以外の閲覧制限など、漏えいした場合でも保護機能を有していれば影響範囲が制限されるため、技術的観点でも把握が必要です。

情報の整理と保護状態の把握を行った上で、悪意ある不正アクセスと自責ミスによる情報漏えいのリスク評価を行い、適切な対策を検討しましょう。

情報漏えい時に通知出来る事が重要

ここまでは、情報漏えいを防止する為の施策を記載しましたが、今回の法改正によって、最も重視すべきは「本人への通知義務」＝「被害範囲の特定」が出来なければならない、という点だと考えています。

例えば、紛失した PC 上に保存されていた Excel の個人情報一覧表が漏えいした場合、その PC に、どの情報がどれだけ保存されていたのか？が特定出来ない限り、「本人への通知」が出来ません。

これはサイバー攻撃による漏えいであっても同様で、何時のどのような攻撃によって、どの情報がどれだけ漏えいしたか？が特定出来る事が必須となります。

我々のチームでは、インシデント発生後にインシデントレスポンスとして調査分析の依頼を頂くことがありますが、お客様が現状を把握されていなかったり、追跡するログが不足している場合が多々あります。このような場合は、コストや時間をどれだけかけても、調べる事が出来ません。

今回、題材に挙げた「個人情報漏えい時の本人通知義務化」では、漏えいした範囲が特定出来ないので、本人へ通知出来ません。という言い訳は出来なくなりますので、改めて、情報の取り扱いについて再考いただき、2022年の法施行に向けて準備をご推奨いたします。

さいごに

当社では、インシデントの事前・事後に対応を行う CSIRT の構築支援サービスや、システムの中に潜む脆弱性を調査するセキュリティ診断サービスなどをご提供しています。

セキュリティに関してご心配ごとなどございましたら、ぜひお気軽に当社までご連絡ください。