2020年に公布された「改正個人情報保護法(個人情報の保護に関する法律等の一部を改正する法律)」が、2022年4月1日から全面施行されることになりました。
改正のポイントは、大きく分けて6つあります。
【1】本人(個人情報で識別される特定個人)の権利保護の強化
- 短期保有データも保有個人データに含まれます
- 本人からの開示請求で電子データでの提供を含む開示方法の指定が可能になります
- 利用停止・消去や第三者提供停止に関する請求権の要件が緩和されます
- 個人データの第三者提供に関する記録を開示請求できます
【2】事業者の責務追加
- 個人情報漏えい等発生時の報告が義務化されます
- 個人情報の不適切な利用が明確に禁止されます
【3】企業の特定分野を対象とする団体の認定団体制度新設
- 例えば、企業の広報部門のみを対象とする団体を設立できるようになります
【4】データの利活用促進
- 個人の権利を侵害するおそれの低い仮名加工情報は事業者の義務が緩和されます
- 第三者が個人関連情報を個人データとして取得する場合は本人の同意確認などが必要です
【5】法令違反に対するペナルティ強化
- 法令に違反した個人や法人に対する懲役刑・罰金刑が引き上げられます
【6】外国の事業者に対する報告徴収・立入検査などの罰則追加
- 日本国内にある者の個人情報を扱う外国事業者も報告徴収・立入検査の対象となります
どの改正のポイントも事業活動を行う上で見逃せないものですが、コンプライアンスの観点で見れば、とりわけ、
- 情報漏えい等発生時の報告義務化
- 法令違反に対する罰則強化
の2点については、すべての企業にしっかりとした対策が求められます。
このうち「情報漏えい等発生時の報告義務化」では、
- 不正アクセスによる情報漏えい等、悪用の危険性が高い
- 病歴、人種、身分など要配慮個人情報が漏えいした
- クレジットカードの不正利用など財産的被害を生じるおそれがある
- (上記以外で)1,000件以上の大規模な情報漏えいが発生した
といった場合に、個人情報保護委員会と本人の両方に速やかに報告しなければなりません。法改正によって「法令違反に対する罰則が強化」されたため、報告を怠れば、企業に対して最大1億円もの罰金刑が科せられるので要注意です。
そして、報告を行うために欠かせないのが「デジタルフォレンジック」です。これは、セキュリティの専門家が違法行為の証拠を見つけ出し、情報漏えいの原因、経緯、被害範囲、影響範囲などを詳しく調査・分析するものです。
デジタルフォレンジックを実施するためには、パソコン、サーバー、ネットワーク機器などの操作履歴、通信履歴など裏付けとなるデータが必要です。
改正個人情報保護法で定められた報告義務をきちんと果たすためにも、また情報漏えい事案の速やかな解決を図るためにも、常日頃からパソコン等の操作履歴などを収集できる体制やシステムを導入しておきましょう。
ところでこの「デジタルフォレンジック」ですが、セキュリティの専門家でなければできない高度な調査なので、かなりの費用がかかってしまいます。
具体的には、
- パソコン1台あたり150万円~
- サーバー1台あたり250万円~
が、おおよその相場となっているようです。マルウェア感染やサイバー攻撃が引き金となる情報漏えい事案は、複数のパソコンやサーバーにまたがって進行しているケースが普通ですから、調査総額は相当なものとなるでしょう。セキュリティ予算の潤沢な大企業ならともかく、中小・中堅企業にはなかなか頭の痛い金額です。
万が一の情報漏えいに備えて、調査費用を準備しておくことも重要な対策のひとつなのです。
そのため最近では、サイバー攻撃などの被害を想定した企業向けの保険も登場してきました。
- デジタルフォレンジックの費用
- 情報漏えい時の損害賠償金
- 機器やデータなどの復旧費用
など、サイバー事案で必要となる諸費用が補償されるようになっています。調査費用などを効率的に準備する方法として、検討しておきたいところです。