「個人情報保護法が改正されると聞いたけれど、どうなるのだろう?」と思っている方、多いのではないでしょうか?個人情報の取り扱いに対する世間の関心が高まっているなかで、押さえておくべき法改正であり、そのうえで十分な対策をとる必要があります。今回はその内容と必要な対策を紹介いたします。
目次
今回のケース
改正個人情報保護法が2022年4月から全面施行されるが、どのような対策を行えばよいか。
( 1 ) 改正個人情報保護法とは?
個人情報の保護を目的に「個人情報保護法」が施行されたのは、2005年4月のことです。2015年には社会情勢の変化に合わせて、10年ぶりに改正されています。
今回はさらに2019年1月に示された「3年ごと見直しに係る検討の着眼点」に即した見直しを受け、以下の5つの視点をもとに改正されます。
- 個人の権利利益の保護
- 保護と利用のバランス
- 国際的な制度調和や連携に配慮
- 海外事業者によるリスクへの対応
- AI、ビッグデータ(※1)時代への対応
公布日は2020年6月12日、施行日は2022年4月1日です。ただし次に紹介するうち「ペナルティ強化」については、2020年12月12日にすでに施行されています。
※1 ビッグデータ:テキスト、音声、画像、動画、Webページ、SNSなどから得られる巨大なデータ群のこと。AIなどの先進技術とあわせて活用が広まる。
( 2 ) 改正個人情報保護法の6つのポイント
今回の改正の範囲は多岐にわたります。全てを頭に入れるのは大変なので、わかりやすく6つのポイントにまとめました。
①個人情報の取り扱い厳格化
個人情報の取り扱いルールがより厳しくなり、個人の権利保護が強化されます。
②漏洩時の通知が完全義務化
漏洩時の報告義務など、個人情報を取り扱う事業者の責務が追加されます。
③自主的な取り組みを促進
認定個人情報保護団体(※2)の認定対象を広げることで、個人情報保護のための自主的な取り組みを促します。
④データの利活用を促進
仮名加工情報(※3)については、通常の個人情報と比べて事業者の義務が緩和されることになります。
⑤ペナルティ強化
報告義務違反などの法令違反に対して、罰則・罰金などのペナルティが強化されます。
⑥海外の事業者も対象に
日本国内にある者の個人情報を取り扱う海外の事業者も、報告徴収や立入検査の対象となります。
※2
認定個人情報保護団体:個人情報保護委員会の認定を受けて「認定個人情報保護団体」になることができる。
※3
仮名加工情報:ほかの情報と照合しなければ特定の個人を識別することができないよう加工した情報。
( 3 ) 中小企業が直面するリスクと課題
改正個人情報保護法の背景には、企業からの情報漏洩が急増していることがあります。サイバー攻撃はますます複雑化・巧妙化しており、手厚くサイバーセキュリティ対策をしている大手企業に比べ、中小企業はどうしても対策が手薄になってしまいがちです。そこを狙ってサプライチェーン攻撃(※4)を仕掛けてくる悪質な事例も増えています。
一方で、メール誤送信など内部からの「うっかりミス」によって重要な情報が外部に流出してしまう事故も起きています。もちろん意図的な「持ち出し」も問題になっていますが、それは全体から見るとほんの一部で、多くは悪意のない情報漏洩です。
東京商工リサーチの調査結果によると、2021年に上場企業とその子会社で個人情報の漏洩・紛失事故を公表したのは120社、事故件数は137件、漏洩した個人情報は約575万人分にも及びました。このうち、メールの誤送信などの人為的なミスによるものは43件で、30%を超える事故原因となっています。
しかし、外部要因・内部要因に関わらず、個人情報は1回でも漏れてしまうと企業の信用問題にかかわってしまうため、従業員への情報セキュリティ教育とあわせて、適切なセキュリティ対策が必要になります。
参照:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」より※4 サプライチェーン攻撃:取引先の中小企業などを経由して、ターゲットとする大手企業に不正侵入するサイバー攻撃のこと。
( 4 ) 情報漏洩を防ぐために必要なセキュリティ対策とは
「適切なセキュリティ対策といっても、具体的に何をすればいいのか?」というみなさんに、ここからはサクサの製品による具体的な対策例をご紹介します。
セキュリティを集中管理するUTM(統合脅威管理)「SS7000Ⅲ」
UTMとは日本語で「統合脅威管理」といい、この一台でさまざまなセキュリティリスクから自社を守ってくれるツールです。
〈外部からの脅威を防ぐ〉
外部からの不正アクセス、ウイルス侵入など、さまざまな脅威から社内ネットワークを守ります。自動ファーム更新により常に最新のセキュリティ対策を行い、さらに無料でリモートによる保守サポートもあるため安心です。
〈内部にある脅威を防ぐ〉
パソコンが乗っ取られ、外部への「踏み台」として悪用されることを防ぎます。また、社員のWebアクセスを制限し、危険なサイトアクセスとSNSや掲示板などへの情報漏洩を防ぎます。
メールの誤送信を防止する情報セキュリティゲートウェイ機器「GE1000」/「GE1000Pro」
「GE1000」および、ハイエンド機器の「GE1000Pro」では多彩な機能で情報メールの誤送信を防止します。
メール送信時のリスク回避
メール誤送信対策についてどちらの機種にも備わっている主な機能は以下の通りです。
- 送信メールの一定時間保留およびキャンセル機能
- 送信メールフィルタリング機能
- 添付ファイルの自動暗号化機能
メールを一旦保留状態にすることにより、宛先や添付ファイルを間違えた際に送信をキャンセルできます。さらに、フィルタリング機能によって、「なりすまし」などの巧妙な悪質メールからの情報流出を防ぎます。添付ファイルのパスワード不備も自動で解消されるため、面倒なパスワードの設定が省略できます。これにより煩雑な業務フローを軽減し、確実なセキュリティ対策が可能です。
また、上記に加え「GE1000Pro」には宛先を自動でBccに変換する機能や、社員が送受信したメールや添付ファイルを管理部門などが閲覧することのできるメールアーカイブ機能を備えています。
このように情報漏洩対策をしっかり行うことで、損失を防ぐだけでなく、企業の信用を高めるという大きな効果も得ることができます。
( 5 ) まとめ
改正個人情報保護法について、おおむねご理解いただけましたでしょうか?
個人情報の取り扱いや情報漏洩の罰則が厳しくなり、顧客や取引先の情報を守るための対策は企業規模に関わらず、今後ますます重要になってきます。
サクサは、中堅・中小企業の情報セキュリティ対策をサポートさせていただきます。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。