開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社ミロク情報サービス提供コンテンツ

  • スペシャル
  • 会員限定
  • 2022/06/24

罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策

企業を標的にしたサイバー攻撃は、ますます深刻化している。セキュリティ対策の進んでいない中小企業を狙った攻撃が増加するなど、企業規模に関係なく被害は広がっている。そして、その手口は多角化かつ巧妙化しており、企業は早急なセキュリティ対策が必要だ。こうした状況に加えて、2022年4月から改正個人情報保護法が施行された。セキュリティ対策に加えて法改正への対応も迫られる。ここでは、個人情報保護法の改正のポイントと、その対応方法を整理し、特に中小企業に最適なセキュリティ対策を解説する。

photo
改正個人情報保護法で重要なポイントとやるべき対応とは
(Photo/Getty Images)

改正個人情報保護法の“2つのポイント”

 サイバー攻撃で用いられるのが、「ランサム(身代金)ウェア」だ。初期のランサムウェアは個人を無差別に狙うものが多かったが、ここ数年は特定の企業を狙う標的型攻撃で多用されるようになっている。最近では身代金の要求にとどまらず、身代金を支払わなければ窃取した情報を公開するという二重脅迫型のランサムウェアが増加しており、より悪質化している。

 2020年11月には大手ゲーム会社がランサムウェアの被害に遭った。要求されていた身代金の支払いを拒否した結果、1万5000人超もの個人情報が流出した。また、2022年3月には自動車メーカーの子会社がランサムウェアに感染し、国内の全工場が稼働停止する事態となった。このように、昨今のランサムウェアはひとたび狙われたら防ぐことが難しくなってきている。

 ランサムウェアの被害が拡大する一方で、情報の取り扱いに関係する法律も変化している。2022年4月1日には改正個人情報保護法が施行された。改正のポイントは大きく2つある。1つは、情報漏えい発生時の報告の義務化だ。従来は努力義務だったが、改正後は個人情報保護委員会に一定の期間内に2段階での報告が義務づけられた。2つ目は罰則の強化だ。命令違反や虚偽報告を行った際の罰金が、最大1億円に引き上げられた。

画像
2022年4月に改正個人情報保護法が施行

 施行から数カ月経過したものの、改正法へ対応しきれていない企業もあるだろう。特に報告の義務化については、原因や再発防止策など9つの内容について報告しなければならず、情報漏えいが発生した際の体制やフローを整備していなければ対応は困難だ。特に、情報漏えい発生原因の調査にはデジタルフォレンジックと呼ばれる専門調査による詳細な被害分析が必要になるが、パソコンの操作履歴を確認できない場合、高額な費用をかけても十分な調査ができない可能性が高い。

 かといって、中小企業にとっては専任の担当者がいない場合もある。本来の業務にIT関連業務を兼任するケースやひとり情シスも多く、「何から手を付けたらいいのか分からない」のが現実だろう。ここからは改正個人情報保護法への対策を構築しながら、情報漏えいから会社を守る方法について解説する。

この記事の続き >>
・情報漏えい対策には「3つのさせない」体制づくりが重要
・今できる基本の情報セキュリティ対策
・改正個人情報保護法にどう対応? 改正電帳法やインボイス制度にも

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!