改正個人情報保護法の“2つのポイント”

　サイバー攻撃で用いられるのが、「ランサム（身代金）ウェア」だ。初期のランサムウェアは個人を無差別に狙うものが多かったが、ここ数年は特定の企業を狙う標的型攻撃で多用されるようになっている。最近では身代金の要求にとどまらず、身代金を支払わなければ窃取した情報を公開するという二重脅迫型のランサムウェアが増加しており、より悪質化している。

　2020年11月には大手ゲーム会社がランサムウェアの被害に遭った。要求されていた身代金の支払いを拒否した結果、1万5000人超もの個人情報が流出した。また、2022年3月には自動車メーカーの子会社がランサムウェアに感染し、国内の全工場が稼働停止する事態となった。このように、昨今のランサムウェアはひとたび狙われたら防ぐことが難しくなってきている。

　ランサムウェアの被害が拡大する一方で、情報の取り扱いに関係する法律も変化している。2022年4月1日には改正個人情報保護法が施行された。改正のポイントは大きく2つある。1つは、情報漏えい発生時の報告の義務化だ。従来は努力義務だったが、改正後は個人情報保護委員会に一定の期間内に2段階での報告が義務づけられた。2つ目は罰則の強化だ。命令違反や虚偽報告を行った際の罰金が、最大1億円に引き上げられた。


　施行から数カ月経過したものの、改正法へ対応しきれていない企業もあるだろう。特に報告の義務化については、原因や再発防止策など9つの内容について報告しなければならず、情報漏えいが発生した際の体制やフローを整備していなければ対応は困難だ。特に、情報漏えい発生原因の調査にはデジタルフォレンジックと呼ばれる専門調査による詳細な被害分析が必要になるが、パソコンの操作履歴を確認できない場合、高額な費用をかけても十分な調査ができない可能性が高い。

　かといって、中小企業にとっては専任の担当者がいない場合もある。本来の業務にIT関連業務を兼任するケースやひとり情シスも多く、「何から手を付けたらいいのか分からない」のが現実だろう。ここからは改正個人情報保護法への対策を構築しながら、情報漏えいから会社を守る方法について解説する。