-
令和5年2月16日に、個人情報保護委員会シンポジウムが開催された。本シンポジウムでは、高度化した不正アクセスによる漏えい等の増加や、委託先事業者等による漏えい等も後を絶たないという状況の中、個人データ・保有個人情報をどのように守るか、万が一、漏えい等が生じた場合どのようにすべきかについて話し合われた。
-
-
主催者挨拶
個人情報保護委員会は、個人情報保護制度の司令塔として「デジタル社会の信頼の土台」となる役割を担っている。当委員会は、令和2年、3年と続けて大きな法改正を行い、国内外の急激な環境変化に対応するとともに、公的部門及び民間部門を通じた個人情報保護政策全般の企画立案と一元的な監視・監督の役割を担うこととなった。
改正法では多岐にわたる改正項目があったが、最近のサイバー攻撃の高度化、不正アクセスの脅威の高まりや委託先事業者等による漏えい等の多発といった状況を踏まえ、本シンポジウムでは、民間部門の個人データ及び公的部門の保有個人情報の漏えい等の防止策と、漏えい等発生時の対応に焦点を当て、皆様にとって有意義で実践的な情報を提供することとしていきたい。
基調講演
-
改正個人情報保護法により、漏えい等事案発生時の個人情報保護委員会への報告と本人への通知が令和4年度から民間事業者および国の行政機関等において義務化され、令和5年度から地方公共団体等も官民一体化により義務化の対象となる。
当委員会は、要配慮個人情報の漏えい等、財産的被害や不正目的のおそれがある漏えい等、大規模な漏えい等といった個人の権利利益を害するおそれが大きい漏えい等について、速報(知った日から概ね3~5日以内)と確報(同30日以内、不正目的のおそれがある漏えい等は60日以内)の二段階で報告を受付け、原因や再発防止策等の調査・分析を行い、技術的安全管理措置の改善、組織体制の見直し等についての指導・助言等を実施している。
漏えい等報告事案として、不正アクセスや委託先事業者による漏えい等のほか、要配慮個人情報の漏えい等が多発している。
-
個人情報保護委員会 事務局長松元 照仁動画2 -
こうした事態が発生しないために、組織体制の整備や従業者の教育、取扱い区域の管理のほか、アクセス者の識別・認証や外部からの不正アクセス防止等の安全管理措置の確実な実施が求められる。委託先の管理では、委託先の安全管理措置の確認、インシデント発生時の責任の範囲の明確化等に留意し、データの安全管理が適切に実施されるように監督することが必要である。
また、PIA(個人情報保護評価)は、個人の権利利益の侵害リスクを低減・回避するうえで有効なリスク管理手法であり、当委員会では意義と実施手順に沿った留意点をまとめた資料を公表している。このほか、個人データの取扱い状況の把握と効果的なリスク対策に資するデータマッピングツールキットや、情報セキュリティの観点からの注意喚起情報等も公表している。これらも活用し、漏えい等の防止に努めてほしい。
-
個人情報保護委員会 事務局長松元 照仁動画2
特別講演「サイバー攻撃による情報漏えい―脅威はランサムウェアだけではない!?―」
-
近年の組織化、サービス化されたサイバー攻撃は、個人情報漏えいにとって従来以上の脅威となっている。大阪商工会議所との共同研究で、大阪市内の中小企業30社を調査した結果、すべての企業がサイバー攻撃を受け、ほぼ半数の企業が何らかの被害を受けているにもかかわらず、それに気付いていないということがわかった。被害は受けると考えるべきで、その場合の最善の復旧対策を検討するべきである。
クラウドも、仮にそれ自体は安全でも、利用者側のアクセス制御や通信経路・データ暗号化等のリスクがあり、無条件に安全が保証されない。サイバー攻撃の手順として、ランサムウェアに至るまでに「調査(ポートスキャン等)⇨ 侵入 ⇨ アンチウイルス無効化 ⇨ ログ消去 ⇨ 情報スキャン・分析 ⇨ 情報搾取・流出 ⇨ マルウェアアップデート ⇨ 踏み台(他サイト攻撃)⇨ ランサムウェア(暗号化・流出)」という典型的パターンがある。
-
神戸大学大学院 教授森井 昌克 氏動画3 -
こうした攻撃への対策として、まずは、情報資産を洗い出し、その重要度を設定してリスクを可視化することが求められる。次に、すべてのアクセスを逐次検証し、何事も信頼しないこと、つまりゼロトラストセキュリティの考え方が求められる。その上でリスクマネジメントとして出来ることをすることが求められる。具体的には、強固なパスワードの採用、OSやソフトウェアの最新アップデート等の従来の基本的な対策でもリスクはかなり低減でき、また、多額の費用を投入できない中小企業であれば政府が支援するセキュリティサービスの活用等により被害を最小に抑えるといった取組が求められる。
サイバー攻撃による被害は、経営損失の危険性につながり、事業破綻に陥る要因にもなりかねない。企業にとっても安全は価値であり、経営者は、サイバーセキュリティが経営リスクの問題であることを認識する必要がある。
-
神戸大学大学院 教授森井 昌克 氏動画3
パネルディスカッション「個人データ・保有個人情報の流出を防ぐために」
パネリスト
Zホールディングス
常務執行役員、
日本IT団体連盟 常務理事
中谷 昇 氏
パネリスト
情報処理推進機構(IPA)
セキュリティセンター長
高柳 大輔 氏
パネリスト
青森市長
小野寺 晃彦 氏
パネリスト
松尾綜合法律事務所
弁護士
菊間 千乃 氏
モデレーター
個人情報保護委員会
事務局 参事官
片岡 秀実
片岡 サイバー攻撃の脅威の高まりや情報セキュリティ対策の現状について、どのようにみているか。
中谷 サイバー犯罪が19年間で7・5倍と急増している。不正アクセスによる情報の「漏えい」と日本では一般に報じられるが、「盗まれている」との意識を持つべきであろう。海外からデータが盗まれる現実があり、日本はサイバーセキュリティ対策を高める必要がある。
高柳 サイバー攻撃が多様化、巧妙化し、ランサムウェアでは、特定の企業を狙う攻撃や、盗んだデータを暗号化し、金銭を払わないとデータを公開するという二重の脅迫の被害が拡大している。サプライチェーン上のセキュリティ対策の脆弱な組織を経由して、標的の企業や官公庁から機密情報を盗む、サプライチェーン・リスクも深刻である。もっとも、基本的なセキュリティ対策により防止できた事例も多く、サプライチェーンを構成する事業者間の協力や情報共有が重要である。
小野寺 地方公共団体では総務省のガイドライン等を踏まえてセキュリティ対策をとってきたが、残念ながら多くの地方公共団体で漏えい等が発生している。最近でもUSBメモリの紛失や廃棄すべきハードディスクの流出といった委託先事業者による大きなインシデントも相次いで発生している。職員のデータガバナンスの意識を高めることは当然であるが、発生事案を踏まえ、委託先の管理監督も必要であると考えている。地方公共団体において重大な漏えい等事案が発生した場合には、その信用を大きく損なうということを改めて認識し、今般の改正法と条例改正に緊張感をもって臨む必要があると考えている。
片岡 漏えいが生じた際に、安全管理措置や委託先等の監督を怠ったとして、個人情報保護委員会から指導等を行う可能性があるが、そのほか、漏えい元にはどのような責任が生じるか。
菊間 管理体制に問題があれば不法行為責任や使用者責任に基づく損害賠償を請求される可能性がある。裁判例をみると情報の機微性が高いほど高額になっており、厳格な管理体制を構築する必要がある。使用者責任は、雇用契約の有無にかかわらず、実質的な指揮・監督関係により決まるため、従業員だけではなく、委託先の関係者による漏えい事案でも、使用者責任による損害賠償責任を負うケースがあることに留意する必要がある。
片岡 漏えい等防止のために求められる対応は。
中谷 デジタルトランスフォーメーションとサイバーセキュリティをインフラ設計時に同時に構築するセキュリティバイデザインの考え方が重要である。セキュリティ対策を対外的に情報開示することも説明責任の一環として重要である。東証プライム上場企業ではセキュリティに関するリスク事項の公開比率が急増(2019年:58%⇨2021年:93%)しており、日本IT団体連盟では、情報開示の促進に資する調査・表彰活動を行っている。質量とも膨大な個人データを有しているプラットフォーマー事業者においては、高い対応水準が求められ、高度なサイバーセキュリティ基準への準拠、PIA(プライバシー保護評価)の導入、グループ会社のDPO(データ保護責任者)の設置とその運用支援、エンジニアから派遣・業務委託社員まで各層に応じた情報セキュリティ教育の徹底等、データガバナンス体制を強化する様々な取組を進めている。
高柳 中小企業では、費用面からセキュリティ対策に投資していないため、深刻な被害に巻き込まれるケースがある。経営者自身がリスクを認識し、予算・人材の確保に努める必要がある。OSやソフトウェアの最新アップデート、ウイルス対策ソフトの導入等の基本的な取組だけでも、リスクはかなり低減できる。セキュリティへの取組は取引相手からの信頼を得ることにもつながる。
小野寺 地方公共団体では、今後、手続のオンライン化や情報システムの高度化を一段と推進していくので、情報セキュリティ対策を一層強化していくことが必要である。一方で、地方公共団体におけるインシデントでは、ルールはあるがその運用が乖離していたという事態がみられている。運用ルールをよりきめ細かく設定していくことが、こうした乖離の解消に有効であると考えている。監査を定期的に実施することも大事であり、青森市ではログ分析ツールを活用したアクセスログの確認等実効性の高い取組に努めている。事例から改めて学んでリスク管理方法を整備していくことも肝要である。
菊間 内部不正については、防犯カメラによる心理的な抑止等、人の動機や行動に目を向けた対策が必要になる。
片岡 委託先管理について、内部管理よりも直接把握できる範囲が狭まり、統制がおよびにくい面があるが、留意点は何か。
菊間 委託先管理は、契約で委託先に多くの義務を課して統制を効かせることが必要となる。その分だけ委託先の負担が増加し、委託元にもそれに見合う費用負担が伴うが、漏えいした場合の損害賠償額や顧客の喪失リスクを踏まえた委託先との契約内容、責任範囲の明確化は重要なポイントとなる。
片岡 インシデント発生時に的確に対応するために必要なことは。
高柳 影響範囲の特定、サービス停止の判断、顧客・取引先対応、法律に基づく対応等の被害拡大防止のための対応から始まり、原因調査、事後対策としての再発防止策の検討等が迅速に求められる。これらを的確に行うためにはインシデント対応を想定した平時の体制整備、机上訓練等の備え、経営者のリーダーシップが重要である。
小野寺 地方公共団体では、ヒューマンエラーが大規模な漏えい事故につながった事例が少なくない。再発防止策を検討するにあたり、この原因を単なる不注意であり、やむを得ないとして片付けている限り、こうしたインシデントを減らすことはできない。組織的な要因に分解して体制や仕組みの課題として捉えて、漏えい等の防止策を講じることが必要である。具体的には、ミスが発生した場合には、安全管理措置に関する指針で列挙されている管理体制や研修、委託、サイバーセキュリティ、監査等の各項目について、ミスを回避できるような見直しの余地がないのかを検証するといった取組を地道に行っていくことが、データガバナンスの基本と考えている。
菊間 事案発覚後、数日から1ヶ月程度の間に調査を行った上で「お詫び」や「見舞金」等自主的な補償を行うといった早期の示談・和解は、企業の経済的損失の軽減およびレピュテーションリスクの軽減の視点からも有効である。
片岡 制度面や事業者、行政機関等に求められる課題、提言についてお話しいただきたい。
中谷 警察庁は2022年4月にサイバー警察局とサイバー特別捜査隊を発足させており、今後の対策の強化に期待している。日本の警察は暗号化されたデータを復元する等高い能力を有しており、海外の捜査機関との連携により、サイバー犯罪の予防捜査も期待できる。捜査力が高まれば、確実に抑止力につながる。捜査力を発揮する上で、サイバー攻撃の情報を警察に集約する仕組みがほしい。一方で、捜査は国民の理解と協力が前提で、プライバシー保護とのバランス等の議論が必要である。
高柳 クラウドの進展、IoT化やAIの活用等が進み、あらゆる活動がサイバー空間とかかわりを持つようになる中で、セキュリティリスクも高まっている。経営層は、自らセキュリティに関心を持ち、セキュリティ専門人材との協働が求められていることを意識してほしい。
菊間 漏えいにより、多額の損害賠償、顧客からの信頼喪失、官庁の仕事を受注している場合は入札資格の喪失の可能性がある。経営層には、漏えい防止をはじめ、個人情報保護やプライバシー保護にしっかりと向き合ってほしい。また、サイバー攻撃の高度化等の環境変化に対応していくため、リスク対策を継続的にアップデートしていくことも必要である。こうした対応をコストとして扱うのではなく、商品やサービスの品質向上、自社全体の信用向上にもつながるという発想に切り替えることが求められる。