About us 情シスのじかんとは?
About us 情シスのじかんとは?
INDEX
個人情報保護法とは、個人情報を取り扱う際のルールを定めた法律です。個人情報の適切な利用を促しつつ、個人のプライバシーを保護することを目的としており、個人情報保護委員会が監督しています。なお、正式名称は「個人情報の保護に関する法律」です。
この個人情報保護法において「個人情報」とは、氏名、生年月日、住所、電話番号など、生存する特定の個人を識別できる情報のことを指します(同法第二条)。
2024年4月1日、改正個人情報保護法が施行されました。
今回の改正で着目すべきポイントは、「漏えい等報告・本人通知の義務」において、対象となる情報の範囲が拡張された点です。
個人情報取扱事業者は、情報漏えいが発生した場合、あるいは疑いが生じた場合には、個人情報保護委員会への報告、および本人への通知を速やかに行う必要があり、これを漏えい等報告・本人通知の義務といいます(同法第二十六条)。
これまでの個人情報保護法では、漏えい等報告・本人通知の義務において、対象とする個人情報は「個人データ」のみでした。しかし、今回の改正により、その対象が「個人データとして取り扱われることが予定されている個人情報」にまで拡張されました。
「個人データとは何のことだろう?」と思われた方もいらっしゃることでしょう。ここで、個人情報保護法における個人データについて解説します。
個人データとは個人情報データベース等を構成する個人情報のことをいい、個人情報データベース等とは個人情報を検索できるよう体系的に構成したもののことをいいます(同法第十六条)。
これだけではイメージが湧かないと思いますので、ここからは名簿作成を例に解説します。
あるイベントの参加申込受付を、Webサイトの申込フォームや電子メールで行ったとします。このとき、サイトの申込フォームに入力された参加者の情報や、電子メールに記載された参加者の情報のことを個人情報といいます。
その後、管理しやすいよう、各参加者の個人情報を抽出し、一つのスプレッドシートファイルにまとめたとします。このとき、スプレッドシートファイルのことを個人情報データベース等といい、これを構成する各個人情報のことを個人データといいます。
ここまでの内容を簡潔にまとめます。
これまでの個人情報保護法では、漏えい等報告・本人通知の義務の対象は、個人データのみでした。先ほどの例でいえば、スプレッドシートファイルにある情報が漏えいした場合、報告・通知を行う必要があるということです。
しかし、今回の改正により、個人データとして取り扱われることが予定されている個人情報についても、その対象となりました。先ほどの例でいえば、申込フォームに入力された個人情報や電子メールに記載された個人情報が漏えいした場合にも、報告・通知を行う必要があるということです。
では、なぜこのような改正が行われたのでしょうか。今回の改正では、サイバー攻撃の一種であるWebスキミング対策が念頭に置かれています。
Webスキミングとは、ECサイトなどに設置されている入力フォームに悪意のあるコードを埋め込み、ユーザーが入力したパスワードやクレジットカード情報などを盗むサイバー攻撃のことをいいます。
さて、このWebスキミングを、個人情報保護法に当てはめるとどうなるでしょうか。
実は、改正前の個人情報保護法では、このWebスキミングの被害に対応できません。なぜなら、Webスキミングで盗まれる個人情報は、個人データではないからです。
Webスキミングで盗まれるのは、個人情報データベース等に反映される前の個人情報、つまり個人データとなる前の個人情報であって、仮にWebスキミング被害が発生したとしても報告・通知を行う必要はない、ということになります。
この点が今回の改正の背景にあります。改正後の個人情報保護法では、個人情報データベース等に反映される前の個人情報が盗まれた場合も報告・通知を行うことが義務付けられることとなり、結果としてWebスキミング被害にも対応できることになります。
さて、今回の個人情報保護法の改正を受け、企業はどのようなことを実施すべきなのでしょうか。
社内規定やプライバシーポリシーの改定、社員への周知、Webスキミング対策など、さまざまなものがありますが、情シス社員として実施すべきなのは主にWebスキミング対策です。
自社サイトに入力フォームなど個人情報を入力する仕組みを設置している場合は、Webスキミング対策を行いましょう。もちろん、Webスキミング対策は個人情報保護法の改正に関わらず行う必要はあるのですが、これを機に今一度見直してみましょう。
具体的な対策法として次の3つがあります。
WebスキミングはWebサイトの脆弱性をついて行われるケースがほとんどです。そのため、OSをはじめとした各種ソフトウェアに対して、常に最新のセキュリティパッチを適用するようにしましょう。
Web改ざん検知ツールも効果的です。Web改ざん検知ツールとは、対象サイトを常時監視し、改ざんを検知した際に通知や修復などを行うツールのことです。有名なWeb改ざん検知ツールとして、セキュアブレイン株式会社の「GRED Web改ざんチェック Cloud」やアットシグナル株式会社の「SITE PATROL CLOUD」などがあります。
Web改ざん検知ツールは、あくまで改ざんされた後の対策になりますので、そもそも改ざん自体を未然に防ぐための対策も実施したいところです。基本的な方法ではありますが、多層防御の構築が効果的です。ファイアウォールやWAF、IDS(不正侵入検知システム)、IPS(不正侵入防止システム)など、複数のセキュリティツールを組み合わせることで、改ざんされるリスクが軽減します。
多くの情シス社員にとって、「Webスキミング対策も含め、情報漏えい対策は面倒で、できればやりたくない」というのが本音ではないでしょうか。
唐突ですが、「これからの時代、情報漏えい対策ができる企業が生き残る」と聞いたら、どう思われるでしょうか。「何を言っているんだ?」と思われるでしょうか。
これからの時代、企業にとって情報漏えい対策はますます重要な取り組みになっていくと考えられます。
社会の情報化が進むほど、個人情報の有用性が増していきます。インターネットで買い物をする、交通機関や宿泊施設を予約する、イベントに申し込む、メルマガに登録するなど、さまざまなシーンで個人情報が有効活用されます。
成功する企業ほど多くの個人情報を保有することになるのではないでしょうか。しかし、ひとたび情報漏えいが発生すれば大変なことになります。
・関係各所への連絡に多大な時間を要する
・調査・復旧作業に多大な時間を要する
・ブランドイメージが損なわれる
・顧客や取引先との関係が悪化する可能性がある
・株価が下がる可能性がある
・損害賠償を請求される可能性がある
このような損失を被ることが予想されます。保有する個人情報が多いほど、その損失が大きいものとなるでしょう。
逆にいえば、情報漏えい対策は企業として長期的な成功を目指す上で重要な要素ということです。「情報化が進む社会では、情報漏えい対策ができる企業が生き残る」といってもおかしな話ではありません。
情シス社員の方の中には、情報漏えい対策に面倒さを感じている方もいらっしゃるかもしれません。しかし、上記のように考えれば、やりがいのある仕事とも捉えられるのではないでしょうか。自分の仕事が自社の成功に直結しているという感覚は、仕事に対するモチベーションを高めてくれるでしょう。
2024年4月1日に改正個人情報保護法が施行されました。
今回の改正で着目すべきポイントは、「漏えい等報告・本人通知の義務」の対象となる情報の範囲が拡張された点です。今回の改正により、それまでカバーできなかったWebスキミング被害もカバーできるようになります。
今回の改正を受け、情シス社員として実施すべきなのは、主にWebスキミング対策です。その具体的な方法として、最新のセキュリティパッチの適用、Web改ざん検知ツールの導入、多層防御の構築などがあります。
情報化が進む現代、情報漏えい対策は企業として長期的な成功を目指す上で重要な要素です。この機会に見直すことをおすすめします。
なお、個人情報保護法は今後も改正される可能性があります。引き続き情報を追いかけるようにしましょう。
著者:松下一輝
大学院修了後、ITエンジニアとして大手システムインテグレータに入社。通信キャリアを顧客とする部署に配属され、業務システムやWebアプリケーションなどの設計・開発業務に従事する。その後、文章を書く仕事に興味を持ち、ライターに転身。ITやサイエンス、ビジネスといった分野の記事を執筆している。
(TEXT:松下一輝 編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
