公式テキスト著者コラム

今回のコラムでは、企業が取り扱っている個人情報等が漏洩した時の対処法について取り上げます。
昨今のインターネット犯罪のレベルの高さにより、企業が個人情報の取り扱いに厳重に気をつけたとしても個人情報を抜き取られるケースが見られることが多くなってきました。
個人情報を漏洩しない為にセキュリティをしっかりとすることは勿論ですが、万が一漏洩してしまった時のリスクや自社のセキュリティ対策の確認について説明していきます。

■個人情報流出したことを伝えなければならない条件について
まず、情報漏洩が発生した可能性が高い場合、企業等の個人情報取扱事業者は速やかに本人に通知する必要があります。
さらに、以下の4つのいずれかにあたる場合には、個人情報保護委員会に報告しなければならず、本人にも通知しなければなりません。

1. 要配慮個人情報の漏えい等
2. 財産的被害が生じることとなるおそれのあるような個人データの漏えい等
3. 不正の目的をもって行われたおそれがある漏えい等
4. 1,000人分を超える漏えい等
   ※令和2年改正法施行規則6条の2より

■セキュリティ対策について
『その当時の技術水準に沿ったセキュリティ対策』と言われても難しいと思います。
自社の管理するセキュリティ対策が問題ないかを確認する為、経済産業省が出している『サイバーセキュリティ経営ガイドライン』に記載されている10個の事項について点検することが望ましいです。

【サイバーセキュリティ経営の重要10項目】

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源（予算、人材等）確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに効果的に対応する仕組みの構築
6. PDCAサイクルによるサイバーセキュリティ対策の継続的改善
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた事業継続・復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
10. サイバーセキュリティに関する情報の収集、共有及び開示の促進

ランサムウェアに感染して情報が盗まれる等といったサイバー攻撃との戦いは逃れられない現代となっています。
セキュリティ対策を疎かにしてしまい顧客の個人情報を漏洩させてしまうと、サイバー攻撃者からの身代金の要求、顧客からの訴訟、企業ブランドの低下等といった更なる問題に頭をかかえてしまいます。
そうならない為にもセキュリティ対策をしっかりとすることは勿論、適宜アップデートさせていくことも忘れずにしていきましょう。