改正個人情報保護法

改正個人情報保護法の全面施行に備えるセキュリティ対策

改正個人情報保護法が、来年2017年春頃を目途に全面施行されるように準備されています。(個人情報保護委員会;http://www.ppc.go.jp/personal/preparation/)従前のような大企業、中小企業等の企業規模問わず、個人情報やマイナンバー(個人番号)の管理責任が厳しく問われることになります。

それでは、企業においては、システム的にそれらの情報資産を守るために、どう考え、どのような対策を打つべきでしょうか。本稿では、この点についての提案を試みたいと考えています。なお、本稿はITの観点からの考察したものです。

 

1.改正個人情報保護法とは?


1-1.改正個人情報保護法とは、どんな法律?

先般、ITの革新的な発展に伴い企業環境も大きく変化してきました。この様々な状況に対応するため、個人情報保護法が改正されました。当初の政府の計画からすると、来年2017年春頃に、改正個人情報保護法が全面的に施行されることになっています。今や企業経営者としては、知らないでは済まされない時代となってきました。

個人情報は、ある特定の個人を識別できる全ての関連する情報を指しますが、その個人情報の取扱いについて定めた法律が個人情報保護法です。既に施行されているマイナンバー法もこの個人情報保護法の個別法という位置づけです。

 

2.何が変わるのか?システム面からの対処は何をすべきか?

2-1.法律の変更箇所は何か?

個人情報やマイナンバーをシステム面から管理しなければいけないという観点から、注目しておくべき点について、主なものを以下の表に挙げました。個人情報は、人事情報はもちろんのこと、メールアドレスはじめ、組織内に多く存在しています。特にマイナンバーについては、従前の個人番号の管理以上に厳格な管理がマイナンバー法により求められています。企業組織においては、今やそれらは、紙媒体ではなく、電子化された従業員のPCやサーバー等に格納されていることが一般的となっています。

項目 条文 説明 影響内容
個人情報の定義の明確化 第2条第1項、第2項 特定の個人の身体的特徴を変換したもの(例:顔認識データ)等は特定の個人を識別する情報であるため、これを個人情報として明確化する。 組織内における個人情報を再度洗い出し、内部統制の観点、システム面の観点から再検討が必要。
データベース提供罪 第83条 個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為を処罰。 当事者及び事業者に罰則。直接罰が規定。システム的な対処が必要。
小規模取扱事業者への対応 第2条第5項 取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるため、5,000人以下の取扱事業者へも本法を適用。 原則全事業者が厳密な管理が必要となった。

参考)改正個人情報保護法の概要(総務省)をもとに作成

 

法人化している場合、ほとんどの場合、個人情報を保有していると考えられますので、上記の影響は避けられないものと考えられます。情報資産の安全管理、セキュリティ対策は、直接売り上げに紐づかないため、検討が進んでいない現状でした。しかし、改正個人情報保護法の全面施行までの期間内で対処しておく必要があります。言い訳ができない時代が目の前に迫っています。

2-2.法律に違反するとどうなるか?

企業においては、“その他の影響”に記載しましたが、間接的な影響が大きいと考えられます。個人情報漏えいが起因となり、企業の売り上げが激減する等の事例が出てきています。

個人情報保護法は、次の表のように罰則規定が設けられています。マイナンバーについては、直接罰が適用される厳しい内容となっており、当事者はもちろんのこと、マイナンバーの管理側にあたる企業側も責任を問われるようになっています。

名称 法律による罰則 その他の影響
罰則の適用 刑事罰
個人情報保護法 当局から改善命令⇒刑事罰 6ヶ月以下の懲役または30万円以下の罰金 ・システム改修やセキュリティ対応費用

・企業ブランド、取引先との信用低下

・当該事案対処のための体制構築による通常業務効率低下

個別法

(マイナンバー法)

刑事罰 4年以下の懲役または200万円以下の罰金もしくはその両方

ISMS認証やプライバシーマーク認定を取得している企業であっても、それに関係なく、情報漏えいが発生している現状です。

また、スマートフォン等の個人デバイスの多様化、グローバルなInternet環境が整備されていることに加え、モバイル、在宅勤務等、ワーキングスタイルも変化してきており、セキュリティリスクもあらゆる所に分散しています。つい先日2016年12月2日にも、全国初となるマイナンバー不正取得容疑で逮捕された事件も報道されています。

 

3.どのようにすると良いのか?

 

3-1.状況を正しく理解する

2015年5月に発生した日本年金機構における情報漏えい事件、最近では2016年6月のJTBの標的型攻撃等、メディアに取り上げられていないものを含めると情報漏えいによる被害件数は増加傾向にあります。1事案あたりに流出した個人情報件数が非常に多い等、話題性が高い事案がメディアにクローズアップして取り上げられることが多いため、標的型サイバー攻撃への対策が喫緊の課題であるかのように捉えられがちです。

しかし、警察への被害が届けられている情報漏えいの件数から見ると内部犯行が圧倒的に多いと報告されています。この現状を冷静に捉える必要があります。セキュリティ対策は、組織の内外という見方からすると、対内部向けの対策と対外部向けの対策というように両方の観点の対策が必須であるということになります。

現在、セキュリティ対策製品のマーケットは右肩上がりで、盛況であることが調査会社から報告されています。セキュリティ対策製品はネットワーク、サーバー、データベース用等、多岐に渡ります。価格帯は高額なものが多く、企業においてはそれなりの投資が必要となっています。セキュリティ対策製品の販売企業も、今やセキュリティ専門事業者ではなく、様々なルートから製品が購入できるようになっています。

このような状況の中で、果たして企業は適切な製品選択を実施し、運用されているでしょうか。

また、サイバーセキュリティ経営ガイドライン(経産省)が先日2016年12月8日に更新されました。そのガイドラインは、“セキュリティは経営課題である”に集約されると思いますが、国内企業における経営層のセキュリティリスクに対する意識はまだ低いものと考えます。

 

しかし、急いでそのような個別対策のみを打つ(例えば、取り急ぎ、セキュリティツールを導入する等)ことは、果たして有効であるかを検証する必要があると考えます。自社にあてはめて考える必要があります。

例えば、最新のSandBOX型のセキュリティ製品は、画期的な発想からきた極めて優れた製品ですが、当該企業においてネットワーク的に他にセキュリティの穴がないかを点検しなければいけない等です。

それでは、具体的にははじめに何をすると良いのでしょうか。○○ツールや△△ソリューションを導入することが最善なのでしょうか。

3-2.リスク分析主導型セキュリティ対策の勧め

現在、個別具体的なセキュリティ対策にスポットを当てたセキュリティ対策製品が数多く販売されています。私は、企業組織がそれらの導入を検討するためには、経営層が自社のセキュリティリスクをどのように捉えているかに依存すると考えます。企業にとっても高額な投資になるということもありますが、自社にとって、どこまでのリスクを許容するか、どこまでセキュリティ対策をシステム的に実装しておくかの方針がなければ、現場が困ってしまうと思うのです。

セキュリティリスク分析は、書いてしまえば、新鮮味のない使い古された手法であるように思われるかもしれませんが、情報資産の管理やセキュリティ対策を検討する上で、極めて効率的且つ、有効に対策を進めることができるものと考えます。

しかし、このようなアプローチは手間と時間がかかり、また詳しい専門家も極めて少ないことから、ツールや製品ありきのセキュリティ対策を考える企業が多いように思います。家の玄関は厳重な警備をしながらも、裏口はフリー、というようにならないように願うばかりです。

3-3.ITリテラシーの向上

欧米のように、ビジネス上の従業員をビジネスライクにドライにみることに慣れていない国内の経営者の中には、人は過ちを犯す、悪いことを犯すものとする前提として、セキュリティ対策や内部統制することに抵抗があるケースがあるようです。

しかし、情報が簡単に、且つ即座に手に入る時代においては、多くのリスクが潜み、時代は大きく変化してきていることを認識し、受け入れる必要があるように思います。企業においては、従業員のITリテラシ―(情報活用力)を向上させる、即ち、報資産の取扱いの意識を向上させるための継続的な教育が重要であると考えます。

内部統制強化、従業員のITリテラシの向上のための教育の実施、従業員によるうらみ、ねたみによる犯行も含まれます。内部における抑止効果、罰則規定の充実化、がポイントです。

例えば、今ではスマートフォンの利用は国内において○億件を超え、計算上は1人1台以上を持つ時代となっています。高性能なカメラ撮影機能から録音機能など、もはやコンピュータです。このようなものを企業におけるスマートフォンの取扱いは、未決定のケースが多く、悩みの種の一つです。

また、従業員が情報漏えいした場合の罰則規程も企業内で整備されていない場合が多いようですが、その場合もセキュリティ事案が発生した場合、企業としても拠り所がないため困ることになります。

3-4.情報セキュリティ対策グランドデザインの考え方

もはや個人情報をはじめとした情報資産を完璧に守り切ることが困難な時代、即ち事故前提時代に突入していることを知ることが重要です。

情報漏えいのリスクは、以前と異なり、状況が大きく変わりました。攻撃者の動機も変化して来ていることがわかっています。いわゆるInternetのアンダーグラウンドの世界においては、攻撃者はより組織化、ビジネス化して来ています。攻撃者も攻撃ツール開発者、攻撃チーム等と分業化され、ターゲット企業の攻撃計画を長期的にじっくりと策定します。その際、ターゲット企業で仕様されているセキュリティ対策製品では検知されないような攻撃プログラムにチューニングします。

このように、攻撃プログラム(マルウェア)が開発されるため、ターゲット企業において、その攻撃プログラム(マルウェア)を検知・駆除することは極めて困難となっています。

以上が事故前提時代と考える所以ですが、現状ではあまり認知されていません。我々対策を提案すべきセキュリティコンサルタントが、このようなことを言ってしまうと相手方に業務放棄(言い訳)と捉えられてしまうと勘違いされてしまう可能性があるためです。しかし、これはあきらめを宣言している訳ではなく、時代としてこれまでとは異なる段階にきていると認識していることを示しているという前向きな捉え方をすべきであると思います。

また、情報セキュリティ対策を特にシステム面から考える場合は、“突破されても攻略されない”思想(「『高度標的型攻撃』対策に向けたシステム設計ガイド/IPA)をもとに再検討することをお勧めいたします。“多層防御”という設計方針で、重要システムをデザインすることも必要です。これは、“突破されても攻略されない”という考え方から来ており、仮に、自社の外部Firewallが攻撃により突破された場合であっても、データ暗号化やアクセス権制御等、ことなるレイヤでセキュリティ対策を実装させることで、情報漏えいを水際で防ぐ、ということを目指しています。

3-5.緊急時社内体制(CSIRT)の整備

ある日、自社のデータが外部へ流出している可能性がある旨の連絡が匿名であった場合、あなたは次にどのようなアクションするか明確でしょうか。セキュリティ事案が発生した場合、初動からその後の対応が厳しくチェックされます。CSIRT(Computer Security Incident Response Team)とも言われており、体制構築が必要とされていますが、人財不足の昨今、最低限の機能を果たす体制は組織横断的に構築しておく必要があると考えます。有事の際のセキュリティ対応の依頼先、担当者、役割等も明確に定義しておくことが重要です。

改正個人情報保護法の全面施行に備えるセキュリティ対策” への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です