情報セキュリティコラム
【2022年個人情報保護法】企業に必要な対応3つのポイント解説(後編)
前編では、個人情報保護法の改正の内容を背景と共に解説していきました。
ここからは、企業が求められる対応を3つに絞って上げさせていただきます。
この記事で分かること
・個人情報保護法の改正の内容が分かる(前編)
・改正に至った背景が分かる(前編)
・企業への影響と取るべき対策が分かる(後編) ←今回はここ
前編がまだの方はこちら
企業に必要な対応ポイント①
・仮名加工情報の作成に気を付ける
仮名加工情報制度が新たに新設されたことにより、匿名加工情報よりも柔軟に利用することが可能になります。
例えば、匿名加工情報は本人か一切分からない程度まで加工し、復元は禁止されていましたが、仮名加工情報の場合、照合すれば分かる程度までの加工でよく、利用目的を変更し内部での分析や利用を行うことが可能になります。
仮名加工情報を作成する場合に以下のことに気を付ける
・特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除する(置換も可、以下同じ)
・個人識別符号の全部を削除する
・不正に利用されることにより、財産的被害が生じるおそれのある記述等(例:クレジットカード番号)を削除する
※個人情報保護委員会において、ガイドラインで具体的な事例等も交えて示す予定とのことです(2021年8月27日現在未発表)
企業に必要な対応ポイント②
・保有個人データの開示請求に備える
個人の権利が強化され、情報開示を求められる可能性が大いにあります。開示請求を拒否することによって、訴訟に発展しかねません。
開示の方法にあたっては書面の交付又は請求を行った者が同意した方法によることとされていますので、書面などの他、開示の請求を行った方と相談した上で開示の方法を定めることも可能です。実費を勘案して合理的と認められる範囲内であれば手数料も徴収できることとされています。具体的な金額は、個別の事例に応じて判断が異なるものであると考えます。
また、個人情報取扱事業者とともに、認定個人情報保護団体が対応することも可能です。認定個人情報保護団体は消費者と事業者の間に立ち、対象事業者である個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、消費者からの苦情の処理や相談対応を行うこととされています。認定個人情報保護団体は各業界の特性を踏まえつつ手続等に関し個人情報保護指針を作成し、対象事業者はこれを遵守することとされています。
今までは対象外であった取得後6か月以内に消去する個人データに関しても個人データに含まれることになったため、こちらに関しても対応体制を見直す必要があります。
企業に必要な対応ポイント③
漏えい発生時の対応を明確にし、個人情報の保護に努める。
何より漏えいさせない対策が重要です。
・漏えい発生時の対応を明確にする
漏えい発生時の対応として、例えば事前にプレイブックを作成し(コラム『サイバー攻撃に備える「プレイブック」で事前準備を』)インシデントに対応する手順を決めておくことで対応の迅速化に役立てることができます。
実際に漏えいしてしまった場合、速報は速やかに、確報は原則30日以内、不正目的で漏えいしたおそれがある場合は60日以内に報告しなければなりません。(不正アクセス事案等の不正の目的をもって行われた行為による漏えい等については、専門的な調査が必要なため他の事案よりも時間的猶予が設けられています)
個人情報保護委員会のホームページに報告フォームが設置されていますので、当該報告フォームから報告を行う必要があります。
実際のフォームはこちら
報告の内容としては下記の項目などが挙げられます。
報告の内容
・組織情報
・事案の発覚日と発生日
・事案の概要(発覚に至る経緯を含む)
・発生事実(漏えい・滅失・毀損)
・漏えい等した個人データ又は加工方法等情報の内容
・漏えい等した個人データ又は加工方法等情報に係る本人の数
・発生原因
・二次被害の有無
・公表予定の有無、方法
・本人への対応等
・発生防止策等
・公表文(案)
これらの報告を行うことを前提に、以下のフローに沿って調査などを行わなければなりません。
正直、この対応の大変さは当事者にしか分からないものかもしれません。かと言って委員会への虚偽報告をしてしまうと罰金50万円以下、さらに命令違反で罰金1億円以下に改正によって強化されています!
法定刑だけでなく、漏えい被害にあった方々に慰謝料を払う場合もあり、調査費用だけでなく事後対策などで莫大な損失が出る可能性があります。
IBMの報告調査によると、情報漏えいの総保有コスト(TCO)は「平均4億円」と発表しています。
個人情報の保護に努める
そもそもの漏えいの原因としてはランサムウェアでの暗号化攻撃や標的型攻撃、内部犯行、他にも最近ではテレワークを狙った攻撃などが挙げられます。(こちらも参考に:コラム『情報漏洩の発生パターンと対策』)
これらの対策を何もせず情報が漏えいしてしまうと、漏えいの発生原因が分からず被害がどんどん拡大してしまいかねません。
では、どのように対策をしたら良いのでしょうか?
例えば、自己学習型AIセキュリティの「Darktrace Immune System」は、サイバーセキュリティ市場で初めてAIを用いた製品。
AIで個人の業務のパターンや事業全体の通信パターンを自律的に機械学習するから、「いつもと違う」通信のパターンなどを察知して、今までのセキュリティ製品では発見できなかった脅威を見つけることが可能です。
さらに、世界初の自動遮断機能で24時間365日、進行中のサイバー攻撃を数秒で遮断することができます。
こういった優れたセキュリティ製品を導入することで、ウイルス対策はもちろん、内部犯行をも未然に防ぐことができます。
弊社でPoV(無償検証)をご案内することも可能です。
Darktrac Immune System の検知例はこちら
まとめ
個人情報の保護に努めることが結果として企業を守ることに繋がる
以前のコラム『サイバーパワー国別ランキング』でも紹介した通り、日本はサイバーセキュリティの分野では遅れを取っている状況です。AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、ますます自分の個人情報の取り扱いに関する期待や、関与への期待が高まっています。
今回の改正によって、企業の皆様(特に経営層の方々)が積極的に個人情報の保護のために動いていただき、活力ある経済社会及び豊かな国民生活を実現していくこと切に願っています。
まずは、セキュリティを見直してみませんか?
また、PCIソリューションズ株式会社ではシステムの最適化を提案するエキスパートとして、
特にセキュリティ分野ではゼロトラストの概念に基づく商品展開を行っております。
セキュリティ上の課題がある企業様、
また、今回の個人情報保護法の改正によって不安がある企業様、
PCIソリューションズが精一杯サポートいたしますので、是非ご相談いただければと思います。
参考文献
- 個人情報の保護に関する法律施行規則の一部を改正する規則
https://www.ppc.go.jp/files/pdf/210324_sekoukisoku.pdf - 個人情報保護法 令和2年改正及び令和3年改正案について
001_03_02.pdf (meti.go.jp) - 個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
200110_seidokaiseitaiko.pdf (ppc.go.jp) - 一般財団法人日本情報経済社会推進協会
認定個人情報保護団体とは – 一般財団法人日本情報経済社会推進協会(JIPDEC) - 発生時の対応ポイント集
https://www.ipa.go.jp/files/000002224.pdf - 情報漏えい時に発生するコストに関する調査
NR1591OR (ibm.com)
人気記事ランキング
課題・トラブル別で製品を探す
ABOUT Psol
2022年10月1日付で
PCIソリューションズ株式会社と
株式会社シー・エル・シーは、
合併しました。
システムの最適化を提案する
エキスパートとして、
PCIソリューションズ株式会社の
一員となり、活動していきます。
CLCとしてさまざまな業種のお客様から
システムについてのご相談をいただき、
そのつど問題の的確な解決に努力してきた経験を
PCIソリューションズでも
変わらずご提供させて頂きます。
引き続きご愛顧のほど宜しくお願い致します。
