Show
個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか(漏えい等の考え方)Q6-1 個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか。 A6-1次のような事例が考えられます。
なお、上記の事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(又は漏えいのおそれ)に該当し得ます。 令和2年6月12日に公布された個人情報の保護に関する法律等の一部を改正する法律案、すなわち改正個人情報保護法は企業や組織として、または雇用される従業員として対応しておくべき課題と言えます。 今回は、改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介します。 改正個人情報保護法とははじめに改正個人情報保護法に関する基礎知識について簡単にチェックしておきましょう。 個人情報保護法の概要まずは個人情報保護法の基本についてご説明します。 ○個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律 引用及び参考元:個人情報保護委員会 上記が個人情報保護法の基本として掲げられている項目です。例えば、商品を注文し、届けるためには住所や氏名が必要であり、個人は自分の情報を提供することが必須となります。企業や組織においても個人情報がなければ商品の配送はできません。この際、企業や組織が配送のために個人から預かった情報の取扱いに関する義務や規程を定めたのが、個人情報保護法です。 改正個人情報保護法のポイント改正個人情報保護法の概要において主な項目を抜粋してみます。 1.個人の権利の在り方 上記は改正個人情報保護法の主な項目です。企業や組織として対応しなければならない理由は、個人情報保護法は法律であり、ペナルティが存在するということです。各項目における改正内容とともに個人情報保護法全体を把握せず、違反してしまうことで最大1億円以下の罰金が課せられます。 例えば、取得した個人情報を本人の同意を得ずに第三者に渡したり、サイバー攻撃や内部不正などによる情報漏えいが起きたことを隠したりすると、法人の規模などに応じて高額の罰金を支払わなくてはなりません。 改正法の各項目の詳細について知りたい場合は下記URLをご参照ください。 引用及び参考元:個人情報の保護に関する法律等の一部を改正する法律(概要) 企業や組織としてどのように取り組むかの法律的な根拠となる個人情報保護法は、実際にはペナルティがあるから守るということではなく、企業や組織において、事前に個人情報を悪用しない、させないための方針や指針の策定などに取り組ませることが目的の法律です。情報漏えいや個人を害するようなことを起こさせないため、悪意のある第三者から個人を守るための法律と言えるでしょう。 企業や組織として個人情報保護法を法律的根拠として社内規則の制定、システム的な対応やデータの取扱い権限の割り振り、データベースのセキュリティ的な保護に対応しなくてはなりません。例えば、うっかりミスやヒューマンエラー、またはサイバー攻撃で情報漏えいしてしまったり、安易に内部不正が起きないようにする必要があります。 企業や組織として従業員と情報共有すべきポイント次に企業や組織として従業員と情報共有すべきポイントをご説明します。 内部不正も含めて個人情報の漏えいには罰則があるということまずは企業や組織全体で内部不正や個人情報の漏えいには罰則があるということを周知徹底しましょう。特に正社員や契約社員、アルバイトやパートなど雇用形態に関わらず個人情報を取り扱う場合に注意が必要です。安易な気持ちで内部不正を行ってしまったり、情報漏えいしたりすることで、企業や組織だけでなく、自分自身に罰金やペナルティが発生することを理解してもらう必要があります。 内部不正も含めて個人情報を漏えいしないよう取り組むべきだということ従業員といっても正社員やパート、アルバイトも含めて雇用形態、または個人の性格の差によって職務への責任感は異なります。その上で従業員全員が内部不正を起こさない、起こさせないようにすること、個人情報を漏えいしないよう取り組むべきだということです。意識改革や周知徹底でカバーできない範囲においては、何らかの形でシステム的に監視や制限、権限などの調整で個人情報にアクセスできないような仕組みを導入する必要があるでしょう。 雇用する側と働く側の両方が「個人情報を守る」という意識を持つそもそも個人情報とは個人を特定し得る情報の他、複数が組み合わさることで個人を特定できる情報の塊とも言えます。氏名がわからなくても、住所と年齢、性別がわかればどこの誰か特定できる可能性があることを意味します。どんな些細な情報でも従業員が勝手に取得したり悪用してしまったりすると、場合によっては個人情報保護法違反になる可能性が高まるということです。同時に、雇用する側と働く側が個人情報を守るという意識がなければ、企業や組織として信頼してもらえなくなります。結果として顧客離れ、ユーザー離れにつながれば、企業や組織としての存続が危うくなること、自身の収入を失うということも従業員全員が意識しておく必要があります。 雇用する側がシステム的に情報漏えいや内部不正を防ぐために次に雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことを見ておきましょう。 情報漏えい対策としての社内ルールやシステム的な取り組み情報漏えいはサイバー攻撃や内部不正の他、作業者のうっかりミスやヒューマンエラー、デバイスやUSBメモリなどの置き忘れなどが原因になりがちです。昨今ではテレワークで働く人も増えたため、デバイスやUSBメモリなどの盗難、盗み見なども原因となるでしょう。データの取扱いに関する社内ルールの制定の他、PC操作ログの監視、アクセスログの取得など、システム的に情報漏えいが起きないようにする体制を構築することが不可欠です。 同時にサイバー攻撃への対策として、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入や更新、ネットワークの監視や攻撃の感知などあらゆる面のセキュリティ対策を行うようにしましょう。 内部不正についてはハイリスク・ノーリターンであると理解させる内部不正については、社内ルールによる罰則の他、ハイリスクであり、ノーリターンであることを理解させましょう。情報漏えい対策と同様にPC操作ログの監視、アクセスログの取得など「誰が、いつ、何をした」かを記録されているということを示すことが大切です。ノーリターンどころかマイナスになることさえあると理解してもらうこと、到底個人一人では賠償しきれないような問題となることも周知徹底すべきです。 その他、データの抜き取りや不正なコピーを行えないよう、デバイス単位で外部記憶デバイスにデータの移動や保存できない仕組み、または物理的にUSBポートに接続できないような対策を取ることも検討してみてください。 情報漏えいと内部不正を防ぐシステムとは個人情報を守るため、そして従業員が安心・安全に業務を遂行するためには情報漏えいと内部不正を防ぐシステムが必要です。同時にサイバー攻撃の対策も行わなくてはなりません。 当社の提供する「AssetView」であれば、情報漏えい対策、内部不正対策、サイバー攻撃対策と、個人情報を守るための仕組みが備わっています。PC操作ログやアクセスログの取得、データの権限の割り振りやアクセス制限など、個人情報及び情報資産を守るための機能が豊富です。個人情報の保護にお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。 まとめ:情報漏えいも内部不正もシステムによる防御が必須今回は改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、そして雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介しました。 基本的にはシステム面での防御や対策と、従業員の協力による適切なデータの取扱いが個人情報を守ります。前述したように、改正個人情報保護法はペナルティがあるから守るというものではありません。顧客やユーザー、そして従業員や経営陣の安心や安全のために守るべき法律です。 単なるセキュリティ意識の向上や文書や口頭による注意喚起などの意識改革で終わらせないようにすること、必ずシステムやネットワーク、デバイス面においてセキュリティ対策することを忘れないようにしてください。 2022年4月1日より施行された「改正個人情報保護法」、具体的には何が変わって、どのような影響があるのか…… A1. 一定の基準を満たす個人情報の漏えい(→Q2)が発生した際の義務や罰金が変わります。 具体的には、
の3点となります。 要配慮個人情報(医療情報・犯罪歴等)の漏えい、滅失若しくは毀損Ex1.) 従業員の健康診断等の結果を含む個人データの流出 財産的被害が発生するおそれがある場合Ex3.) クレジットカード情報の漏えい 不正な目的を以って行われた恐れがあるものEx5.) 外部からのサイバー攻撃による漏えい 漏えい被害者が1000人を超える場合Ex7.) システムの設定ミスや、個人データのご送付等により、1000人超の個人情報が漏えいした場合 Q3. もしも情報漏えいが発生してしまった場合、なにをする必要があるの? A3. 情報漏えいが発生した場合、まずは報告対象事由に該当するか否かの判断が必要となります。 また、その判断を素早く行い、迅速な対応にあたるための体制や仕組みの策定、業務フローの見直しなども必要となるでしょう。 Q4. 実務において、具体的にはどんな影響があるの? A4. 個人情報保護委員会への報告、被害者への通知のために、以下のような一定の対応と費用が生じる可能性があります。
具体的には、下記の3点が工数または費用として発生します。 個人情報保護委員会への報告(義務化)報告方法
報告内容
想定される対応
漏えい対象となった被害者本人への通知(義務化)通知方法
通知内容
想定される対応
罰金刑(引き上げ)
Q5. 速報や確報に記載する情報はどうやって取得すればいい? A5. 情報漏えいが発生した場合、まずは報告対象事由に該当するか否かの判断が必要となります。 ログ管理ツールを導入することで、いつ・だれが・どのファイルにアクセスしていたかを分析することが可能となるため、何月何日何時何分から被害が発生したのか、被害の範囲がどこまで広がっているのを正確に測定することができます。 今すぐできるログ管理操作ログ管理ソリューションの「MylogStar(マイログスター)」はお客様の用途に合わせた豊富なラインナップを用意しています。 例えば、管理サーバーの構築が難しい環境であれば、PC端末や重要データが保管されているファイルサーバーをピンポイントに管理することでログの取得が可能です。 もちろん、いずれのサービスもログ管理に特化した製品としてPC操作の記録・管理・分析を行うことが可能です。 クラウド型 MylogStar Cloud
簡単導入・簡単運用 低コスト クライアント操作ログ管理をクラウドサービスとして提供。
スタンドアロン型 MylogStar FileServer
サーバーOS対応 監視対象のServerOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能) MylogStar Desktop
クライアントOS対応 監視対象のClientOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能) 改正個人情報保護法の“安全管理措置”に必要な対策とは?改正個人情報保護法では、“安全管理措置”の対応が求められています。内容や対策についてご説明しております。 詳細はこちら 【関連記事】従業員のデータ複製&持ち出し、どう防ぐ?データの持ち出しを防ぐ“適切な扱い”とは具体的にどのような扱いなのでしょうか。 詳細はこちら 【関連記事】そもそも“個人情報”ってどんな情報?個人情報とはどんな情報なのか?どのようなことに気をつけなければならないのかをわかりやすくご説明しております。 詳細はこちら この記事を書いた人 株式会社ラネクシー MylogStar担当者 20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。 |