個人情報保護法の改正と企業が取り組むべきセキュリティ対策
2020年6月に「改正個人情報保護法」が成立しました。今回の改正では、個人情報を扱うすべての企業に影響する規制強化が図られたほか、個人情報の内部利用を促進する新しい概念も創設されています。新しい法律の施行に向け、企業はどのような点に留意する必要があるでしょうか。企業が取り組むべきセキュリティ対策を考えます。
2020年改正個人情報保護法が成立
2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」(改正個人情報保護法)が成立・公布されました。この改正は、2015年に設けられた「改正法の施行後3年を目途に、改正法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずる」という附則 ――「いわゆる3年ごとの見直し」の一環として行われたものです。
2017年5月に施行された前回の改正では、5,000人以下の個人情報を取り扱う事業者(小規模取扱事業者)も法律の適用対象に含まれたり、個人情報が漏えいした際の「トレーサビリティ」(追跡可能性・流通経路)の確保が求められたりといった規制強化の内容が付加されました。その一方で個人を識別・特定できない状態に加工すれば第三者へ提供してもよいとする「匿名加工情報」が新設されるなど、個人情報を利用しやすくする緩和策も盛り込まれました。
そして3年後の2020年6月に見直された今回の改正では、前回の改正を補完する多くの内容が追加されています。ただし、今回の改正は現時点において法定刑の引き上げなど一部施行に留まっており、全面施行は公布から起算して2年以内(2022年6月まで)とされています。
改正個人情報保護法のポイント
今回の改正点でとくに注目されているのが、新たに導入された「仮名加工情報」という概念です。仮名加工情報とは、他の情報と照合しない限り、個人を特定できないように加工した個人情報を指します。個人を識別できない状態にまで情報を削ってしまった匿名加工情報は、データ分析用途に使いにくいという課題がありました。そこでより多くの情報を残すことができる仮名加工情報という概念をつくり、データ分析・活用を促進することが仮名加工情報の狙いです。ただし、匿名加工情報は本人の同意がなくても第三者提供が可能なのに対して、仮名加工情報は本人の同意なしでは第三者に提供できないという制限が設けられています。
もうひとつ、今回の改正で大きなポイントとして挙げられるのが「個人関連情報の第三者提供の制限」です。個人関連情報とは、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない「生存する個人に関する情報」を指します。個人情報取扱事業者がこの個人関連情報を第三者に提供するとき、提供先で個人情報として扱われることが想定される場合には、本人の同意を得ることを確認しなければならないという決まりになりました。
この規制強化は就職情報サイト運営会社が起こした事件がきっかけになっています。この事件は、提供先(新卒採用企業)が個人情報として扱うことを知りながら、運営会社は個人が特定できないとして本人の同意なく第三者提供したというものです。この運営会社はCookieを使って同意取得を回避したことも問題視され、「個人情報保護法の趣旨を潜脱した極めて不適切なサービス」という厳しい指摘を受けています。
企業がとくに注意したい改正内容
これらが個人情報保護法の今回の改正ポイントですが、企業がとくに注意しなければならない内容が2つ含まれています。
1つは、個人情報を万一漏えいさせてしまったときに、国(個人情報保護委員会)への報告だけでなく、本人への通知も義務づけられた点です。漏えいした範囲が特定できない場合、可能性のある範囲のすべての個人に対して報告する義務が生じると考えられます。また個人情報に関しての開示請求が行われた場合には必ず従わなければならず、入手元の確認や情報の破棄などの請求があった場合はそれらに応じる必要もあります。企業はどういった個人情報がどこにあるのかをあらかじめ把握し、インシデント発生時には迅速に対応してコンプライアンスを維持する取り組みが求められるわけです
もう1つは、法定刑(罰則)の強化です。とくに法人に対する罰則が大幅に引き上げられ、例えば「個人情報保護委員会からの命令への違反」「個人情報データベース等の不正提供等」は従来の「罰金30万円以下」から「罰金1億円以下」へと大きく変わりました。欧州などの法定刑に比較するとまだ低い水準ですが、それでもかなりのインパクトを持つ内容になっています。罰金の最高額が低いと対策に取り組む意欲も低くなるため、企業に具体的な対策を促すことを狙ったものだと考えられます。
なお、この法定刑の引き上げについては2020年12月からすでに施行されているので、十分に注意してください。
企業が取り組むべき対策とは?
今回の改正個人情報保護法への対策として、企業はどのような取り組みを進めるべきなのでしょうか。重要なのは、個人情報の漏えいを確実に防ぐセキュリティ対策を講じるとともに、万一の事態に備えたインシデント対応体制を整備することです。
対策① セキュリティの現状を可視化する
個人情報をはじめ、企業の機密情報を保護する方法として、セキュリティ業界ではNIST(米国国立標準技術研究所)の「サイバーセキュリティフレームワーク」がデファクトスタンダードになっています。このフレームワークでは、特定・防御・検知・対処・復旧、の5段階に分けてセキュリティ対策に取り組むことが示されています。
フレームワークを採用してセキュリティ対策を進めるには、まずは"特定"から始めます。"特定"とは「どういった情報がどこにあるのか、どのように利用されているのか、誰が利用できるのか」を可視化することを意味します。しかし、企業が所有するすべての情報を可視化することは容易なことではありません。なぜならクラウドサービスが広く普及した現在、すべての情報が社内ネットワークの中にあるとは限らないからです。デジタルトランスフォーメーション(DX)推進の一環としてクラウド利用を拙速に進めた結果、個人情報や機密情報(経営情報、営業情報、製品設計情報など)の所在を把握できていない状況も生まれています。情報の可視化を実現するには、既存の社内ネットワークだけでなく、利用しているすべてのクラウドサービスについても確実に把握できなければなりません。それを実現するソリューションを導入することが、最初の取り組みになります。
さらに、その次の段階である、防御・検知・対処・復旧、について、自社のネットワーク環境に合わせた適切なセキュリティ対策を実施し、ビジネスの健全性を担保しながらインシデント発生による収益性悪化の恐れを排除します。
対策② インシデント対応体制を整備する
セキュリティの現状を可視化して必要な対策を進めたら、インシデント発生に備えた体制を整備します。インシデントが発生した場合には、被害状況を把握して拡大防止策を講じるとともに、社内外の関係者へ報告しなければならないなど、さまざまな対応に迫られます。あらかじめ体制を整えて迅速・的確にインシデントに対応できる準備をしておけば、たとえ悪意がある攻撃者の侵入を許して個人情報が窃取されたとしても、被害を最小限に食い止める可能性が高まります。
日本ネットワークセキュリティ協会のレポートによると、2018年はインシデント1件あたり平均1万3,334人分の個人情報が漏えいしています。個人情報保護委員会だけでなく本人への通知も義務づけられたことで、報告にかかる負荷は大幅に増加しています。法令違反に対する罰金や多額の賠償金を支払うことになれば、企業経営に大きなダメージを与えかねません。ビジネスへの影響を抑え、企業の信用やブランドイメージの失墜といった間接被害を回避するためにも、インシデント対応体制の整備は欠かせません。
【関連記事】凶悪化するランサムウェアから企業を守るには? 最初に取り組むべきはセキュリティリスクの"見える化"
JBCCのセキュリティソリューション
企業が取り組むべきセキュリティ対策を支援するために、JBCCでは多様なセキュリティソリューションを提供しています。例えばJBCCの「見える化サービス」は、ネットワーク脅威診断を実施してセキュリティの現状を可視化し、対策の優先順位づけを行うというサービスです。また個人情報や機密情報の窃取を狙う標的型攻撃やランサムウェアに備え、事前に準備しておくべき環境・体制づくりから、インシデント発生時の影響度調査と今後の予防・対策までを支援・提案する「マルウェア感染調査支援サービス」も提供しています。
このほか社内ネットワークやクラウド、モバイル・テレワーク端末も含めたエンドポイント全体の、防御・検知・対処・復旧、をワンストップで提供する各種EPP/EDRサービス、企業のセキュリティ運用を代行するマネージドサービスなども用意しています。
改正個人情報保護法を遵守し、個人情報漏えいのリスクを最小化したいと考える企業は、あらゆるセキュリティ対策を強力に支援するJBCCのセキュリティソリューションを検討してみてはいかがでしょうか。
見える化サービス
600社以上のお客様にご利用いただいた実績を持つ見える化サービスは、ネットワーク・クラウド環境・テレワークのセキュリティリスクなど様々なセキュリティ課題を見える化し効果的なセキュリティ対策をご提案するサービスです。
詳細を見るマルウェア感染調査支援サービス
Windows PCがランサムウェアなどのマルウェアに感染した場合に備えて、事前に準備しておくべき環境や体制作りから、 万一の感染が発生した場合に影響度合いの調査と今後の予防や対策までご支援・ご提案させていただくサービスです。
詳細を見る資料ダウンロード [関連事例]
新日本製薬株式会社 様 ゼロトラストで事業を加速する攻めのセキュリティを実現
マネージドサービス for SASE Plusにより、社内外の全ネットワークセキュリティ運用管理を支援。 先進的なクラウド活用で利便性を高めつつ、強固なセキュリティを確保を目指した新日本製薬 株式会社様の事例です。
資料をダウンロードする企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。