セキュリティ対策vol.09| 調査費用だけで200万円以上、個人情報漏洩の最新事情
漏洩事例は増加傾向、義務化による負担増も
個人情報漏えいの被害件数は、年々増加傾向にありますが、この度政府の個人情報保護委員会に報告された個人情報の漏洩事案は2022年4~9月、前年同期の3倍にのぼったことが分かりました。
背景には個人情報に関する報告の義務化があったために、件数が増えたことも一因とみられていますが、前年同期は517件だった個人情報漏洩事件の報告が、1,587件に増えたと公表されています。(リンク先は個人情報保護委員会)
https://www.ppc.go.jp/news/careful_information/221109_chuuikanki/
今年4月の個人情報保護法の改正によりサイバー攻撃など不正行為による個人情報の窃取や、管理ミスが原因の場合でも、1000人分超の情報が流出したケースなどで、報告が義務化されたことで、調査への負担も深刻化していることも分かっています。
改正個人情報保護法について
2022年4月の個人情報保護法の改正により、これまでは努力義務だった個人情報保護委員会への報告と本人への通知が、義務化されることとなりました。
具体的には下記のケースの場合に報告の義務が発生することになり、違反者には勧告や措置命令を出し、違反が続く場合には1年以下の懲役又は100万円以下の罰金となります。
- 要配慮個人情報の漏えい等(件数問わず)
- 財産的被害のおそれがある漏えい等(件数問わず)
- 不正の目的によるおそれがある漏えい等(件数問わず)
- 1,000件を超える漏えい等
漏洩の判明からおおむね3~5日で速報を出し、30~60日以内に原因などを調査した上で詳細を報告する必要があり、時間的にも調査や是正に対するスピード感を求められることになります。
数百万円にのぼる調査費用負担も
それでは個人情報の漏洩の発生した場合には、調査費用としてどれくらいの費用が掛かるのでしょうか?
(被害の範囲や原因を調べる)フォレンジック費用は、明確な定義はされておりませんが、東京地方裁判所が平成 26年に扱った事例では、専門業者2社が調査を行っておりそれぞれ220万5000円,173万2500円の費用がかかったようです。
これらの調査費用に加え、改善のための仕組みづくりや、賠償等が発生することも考えられるため、中小企業が調査費用を捻出するのは難しく、制度の周知徹底と漏洩を防ぐための仕組みづくりが必須になってきたと言えます。
情報漏洩を防ぐための仕組み
個人情報保護委員会では対抗策として以下の事項への対応を求めています。
適切な安全管理措置
- 業務プロセスやマニュアルの見直し
- 個人情報の取扱いに関する意識の育成を従業者への研修等を通じて継続的に周知徹底する
不正アクセス等による個人データの漏えい等について
- テレワーク等で使用するVPN機器にセキュリティパッチの適用をしておらず、脆弱性を悪用された結果、不正アクセスを受けた事例
- ウェブサイトに脆弱性があり SQL インジェクション攻撃を受けた事例
- 取引先等になりすましたメールに添付されたファイルを開封したことで Emotet に感染した事例
セキュリティ対策にはパソコンも、意識も日々のアップデートが欠かせないものと言えます。
漏洩を防ぐためのシステム構築だけではなく、利用する従業員の方への教育も必須です。
<ご相談はアストンへ>
株式会社アストンでは、従業員の方の研修から、セキュリティ診断、仕組み作りまでを一手で行わせていただきます。
専門家のアドバイスや診断が必要であれば、アストンにお問い合わせください。
まずはご相談ください。
株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/