ニュースイッチ

4月1日施行、改正個人情報保護法で企業が求められること

4月1日に改正個人情報保護法が施行される。改正に伴い、個人情報漏えい時の報告・通知が義務化。法令違反に対する罰則も強化され、例えば個人情報データベースなどの不正提供をした場合の罰金は、法人企業では50万円以下から1億円まで引き上げられる。サイバー攻撃が巧妙化する中、自社のセキュリティー対策強化はもちろん、万が一、情報漏えいした際の社内の対応体制についても見直す機会が必要だ。(狐塚真子)

従来の個人情報保護法では、個人情報が漏えいした際、保護委員会への報告や本人への通知は努力義務とされていた。

改正個人情報保護法ではこれが義務化された。その時点で把握する事項に関する「速報」は把握した時から5日以内、報告が求められる事項を全て報告する「確報」は30日以内に行う必要がある。

報告内容としては、漏えい内容や二次被害の有無のほか、その原因や再発防止のための措置が問われる。トレンドマイクロの高橋昌也シニアスペシャリストは「原因の究明を迅速化するため、ネットワーク通信全体の可視化のほか、攻撃の追跡や原因追及が可能な(エンドポイントの監視・検知ツール)EDRなどの活用が有効だ」と話す。

情報漏えい発生時の報告手順についても見直しが不可欠。報告内容や報告先のほか、社内のセキュリティー部門、外部コミュニケーション部門など、被害発生時の関係部署の明確化も必要だ。

とはいえ、まずはサイバー攻撃などによる個人情報漏えいを未然に防ぐことが重要となる。サーバーやクラウド、メールなど各点における攻撃の検知・防御を行う製品の導入のほか、個人情報を保存するサーバーのアクセス権限についても、担当者の異動などに合わせて、定期的な見直しが求められる。

コロナ禍や五輪・パラリンピックなどに便乗したサイバー攻撃も発生する中、高橋シニアスペシャリストは「改正個人情報保護法に便乗したサイバー攻撃の可能性も考え得る」と言及する。

改正個人情報保護法に伴うプライバシーポリシーの変更を装ったフィッシング詐欺や、改正個人情報保護法違反を謳うビジネスメール詐欺などには注意が必要だ。

日刊工業新聞2022年3月21日

編集部のおすすめ