弊社のHPをご覧いただきありがとうございます。

CREATE代表をしております丸茂（まるも）です。

突然ですが　もし自社でこんなことが起きたら経営者・情報管理の責任者の皆様はどうしますか？

今回は２回に分けてお話しさせていただきたいと思います。

長文になりますが・・・お付き合い頂けましたら幸いです！！

「知らない間に、自社のホームページにアダルトサイトへ誘導するポップアップが表示された。」

「インターネット上に、自社の従業員、顧客、取引先の個人情報や機密情報が晒された。」

「突然、会社のパソコンのデータが暗号化され、復元のための金銭等を要求された。」

「あなたの会社から来たメールを開いたらうちのPCが動かなくなった、すぐに調べて回答が欲しい！！」

想像してみてください。

せっかくのオリンピックメダルブームの中、気持ちが沈む話題で申し訳ありませんが、今日は個人情報保護法のお話です。

2022年4月1日より改正個人情報保護法が施行されます

改正法の施行後に、一定の基準を満たす個人情報の漏えいが発生した場合

• 個人情報保護委員会への報告
• 漏えい対象となった被害者本人への通知

が義務化されます

「一定の条件とは？？？」

□要配慮個人情報の漏えい、滅失または毀損

→社員の健康診断結果や給与明細、免許証情報など

□不正利用されることにより、財産的被害が発生するおそれがある場合

→居住地の情報や、財産情報、子供の情報など

□不正の目的をもって行われたもの

→いわゆるサイバー攻撃による情報漏洩などがこれにあたります。

□漏えい被害者が1,000人を超える場合

上記４点のうちいずれか1つでもチェックが満たされた場合をさします。

そのような情報漏えいが発生した場合には、個人情報保護委員会への報告と被害者本人への通知が必要となるということです。

「具体的にはどういった対応が？？」

□個人情報保護委員会への報告の義務化

これは速報と確報の2段階。速報は報告対象事由発生から概ね3~5日以内、確報は30日以内に実施

ただし、対象事由に③のサイバー攻撃による情報漏洩を含む場合には、60日以内という条件あり

報告にあたり、原因調査、被害範囲の特定を実施する必要あり

サーバ1台あたり20～100万円程度の費用が発生する可能性

これらのために必要なアクションとしては

• インシデント対応、再発防止策策定のための専門事業者との連携
• 原因調査・被害範囲の特定のためのフォレンジック調査
• 報告対象有無の確認や報告フォーム作成のための弁護士相談

などが考えられます。

経営者や責任者の方は想像するだけでかかる面倒な手間に途方にくれるかと思います

これらに対応するには専門事業者であるコンサルタントからの迅速なサポートやアドバイスができるよう、日ごろから相談できる会社を選定しておくことが重要です

□漏えい対象となった被害者本人への通知の義務化

漏えい被害者の特定、連絡先（住所・電話番号・メールアドレス等）の確認

「漏えい事象の概要」、「漏えいした個人データの項目」、「原因」、「二次被害、またはそのおそれの有無」、「その他参考情報」等を含めた通知文書の作成など

これらのために必要なアクションとしては

• 被害者からの問い合わせ対応（コールセンター委託費用、超過人件費等）
• 漏えい被害者の名前、連絡先の特定
• 通知文書作成における弁護士への相談など。

コールセンター委託費用や、超過人件費、メディア対応、被害者への見舞対応など多額の費用が発生します。

そもそも、どのような謝罪の文書であったり、どのタイミングでメディア対応をするのか、全くわかりませんよね

「サイバーリスクは　リスクをゼロにできない点が厄介」

サイバー攻撃などは　24時間世界中から攻撃を受ける可能性があります。

また、ランサムウエア被害の66％は中小企業、そのうち約40%が復旧までに 1 週間以上かかっています。

また、そもそも相手が悪意をもった犯罪行為をしかけてくる、見つけにくく捕まえにくい

そして驚くことにサイバー攻撃の検挙件数は自動車の車両盗難よりも数が多いのです

サイバー9,875件 車両盗難 5,210件

大切な「車両」には盗難防止装置をつけます、では「情報」には？

そう考えると情報セキュリティへの投資は絶対に必要であると考えられないでしょうか？

出典「警察庁：令和 2 年におけるサイバー空間をめぐる脅威の情勢等について

令和3 年上半期におけるサイバー空間をめぐる脅威の情勢等について 」

次回は”サイバーリスクをゼロにできない要因”と”「自社の備えを知っておく」”についてお話したいと思います。