寄稿コラム 有識者が語る組織の情報セキュリティ

情報セキュリティ対策の徹底
個人情報を扱う組織の責務

岡村 久道
弁護士 / 博士(情報学) / 京都大学大学院医学研究科講師(非常勤)


京都大学法学部卒業。弁護士。博士(情報学)。京都大学大学院医学研究科講師(非常勤)。元国立情報学研究所客員教授。専門分野は情報ネットワーク法、知的財産権法など。主著は「情報セキュリティの法律」「これだけは知っておきたい個人情報保護」「個人情報保護法」「迷宮のインターネット事件」「番号利用法―マイナンバー制度の実務」など多数。

悪質なサイバー攻撃による大量漏えいやランサムロック被害が頻発している。現に被害を受けた日本企業も多い。

そうしたなか個人情報保護法の2020年改正で、「重大な漏えい等」発生のおそれが判明した企業に対し、個人情報保護委員会に報告し、本人に通知する義務が新たに課された。2021年改正で義務の対象が自治体や国公立学校、その他の公的機関にも拡大された。

報告・通知事項は【表】のとおりであり、本人全員に連絡が取れないときは、代替措置が必要だ。自社サイトでの公表や相談窓口の設置が想定されている。

委員会への報告時期は、事実関係を十分に把握できていない段階の「速報」と、原因や再発防止策も含めて報告を求める「確報」の二段階としている。「確報」は当該事態を知った日から30日(不正アクセスなど故意によるものは60日)以内とされている。事故発覚後から対処すべき事柄は尽きないから、「確報」期限など、あっという間に過ぎてしまう。

事項 委員会への報告 本人への通知
(1) 概要
(2) 漏えい等が発生(おそれを含む)した個人データの項目
(3) 漏えい等が発生(おそれを含む)した個人データの頭数
(4) 原因
(5) 二次被害又はそのおそれの有無と内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止措置
(9) その他参考事項

これら改正は2022年度初頭に施行される。まさに「待ったなし」である。さらにプライバシー侵害として集団訴訟を提起される事態も懸念される。他社から預かったデータなら取引打ち切りになりかねない。

こうした事故発生を防止するための「転ばぬ先の杖」として、また不幸にして事故が発生したときでも原因を迅速にトレースできるように、日頃から十分なセキュリティ対策を講じることこそが最も大切だ。だから操作ログ情報収集ツールの重要性は高い。

そうした従業員・職員向けモニタリングツールを導入する際の条件として、委員会は、①モニタリングの目的を事前に特定して内部規程化し、従業員などに明示、②モニタリング実施の責任者・権限を定め、③その実施ルールを設けて内容を運用者に徹底、④当該ルール遵守状況の確認を求めている。勤務先貸与端末の場合を含め、それを使う従業員などにとって、モニタリング自体が自身の個人情報やプライバシー保護に関わるからだ。そのため、こうした条件を守り、対象となる従業員などに事前告知して同意を取得しておけば安心だ。導入で職場全体のセキュリティ意識も高まる。以上の点は学校の場合も変わらない。

いまや「管理策が不十分でした」と謝罪するだけでは済まされない時代が到来したことを、改めて我々は肝に銘じる必要があるはずだ。

ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら

3915A6D202F12AC