個人情報漏えい時の報告義務とは?個人情報保護法に基づく適切な対応
1. はじめに
情報技術の進化に伴い、企業のデータ管理における脅威も増加しています。特に個人情報の漏えいは、企業の評判、信頼性、法的責任に影響を与える深刻な問題となっており、個人情報の管理がより厳格になるのは当然と言えるでしょう。また、令和4年に施行された改正個人情報保護法においては、罰則の強化や漏えい等報告・本人通知の義務化などが規定され、個人情報の保護に対する関心が高まっています。
本コラムでは、個人情報の漏えいが発覚した際に企業がとるべき対応について、個人情報保護法に基づいて解説しています。漏えい等の報告や本人への通知に加え、漏えいを防ぐ対策や特権ID管理ソリューションの活用方法についても、分かりやすく説明します。
2. 個人情報の漏えい等が発覚した際にすべき対応
漏えい等とは?
漏えい等とは、「漏えい」「滅失」「毀損」のことを指しています。
漏えい
個人情報が不正に、または誤って、第三者に公開または共有されること。例えば、不正アクセスによってデータベースから情報が抜き取られた場合や、メールの宛先ミスによって、外部の第三者に情報が送信された場合などがあります。
滅失
個人情報が失われ、または消去されること。例えば、サーバの障害やデータベースのエラーにより、データが失われた場合、あるいは誤ってデータを削除してしまった場合などがあります。
毀損
個人情報が損なわれ、もとの状態に戻すことが困難または不可能になること。例えば、データベースの破損や、悪意のあるソフトウェアによってデータが改ざんされた場合などがあります。
個人情報の「漏えい」「滅失」「毀損」は、企業が管理する個人情報に関連する重大なインシデントになります。発覚した場合は、個人情報保護法に基づいて対応しなければなりません。
漏えい等の発覚時の対応
個人情報漏えい等事案が発覚した場合は、事案の内容に応じて、次の項目について必要な措置を講じる必要があります。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知
事業者内部における報告及び被害の拡大防止
情報漏えいの発生を確認した場合、直ちに関連する部門や管理者に報告し、被害の拡大を防止するための緊急対策を講じる必要があります。これには、システムの隔離、アクセス制限の強化、不正アクセスの検出と防止などが含まれます。
事実関係の調査及び原因の究明
漏えいの事実関係を調査し、原因を究明するための詳細な分析を行うことが必要です。これには、漏えいの発生時期、影響を受けたデータ、アクセスログの分析、不正アクセスの有無などが含まれます。
影響範囲の特定
漏えいの影響を受けた個人情報の範囲を特定することが必要です。これには、影響を受けたデータの種類、漏えいした情報の量、影響を受ける可能性のある利用者の数などが含まれます。
再発防止策の検討及び実施
情報漏えいの原因を特定した後、再発を防止するための対策を検討し、実施することが必要です。これには、セキュリティシステムの強化、アクセス制限の見直し、従業員の教育とトレーニングなどが含まれます。
個人情報保護委員会への報告及び本人への通知
令和4年の個人情報保護法改正法の施行後は、一定の要件に該当する漏えいが発生した、又はそのおそれがある場合は、個人情報保護委員会への報告及び本人への通知が義務化されました。漏えいデータや件数、原因、二次被害等の影響について報告する必要があります。
次の章では、個人情報保護委員会への報告及び本人への通知の対象となる、「一定の要件に該当する漏えい等」がどのような事態を指すのか説明していきます。
3. 個人情報保護委員会への報告・本人への通知義務について
一定の要件に該当する漏えい等の発生、又はそのおそれが発覚した場合は個人情報保護法に則り、個人情報保護委員会への報告と本人への通知を行う義務があります。では、どのような事案が発生した場合に報告・通知義務が発生するのでしょうか。報告対象となる事態について説明します。
報告対象となる事態について
漏えい等の事案が個人の権利利益を害するおそれがある場合、報告及び通知の義務が発生します。該当する事態は以下の通りになります。
- 要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
- 不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)
- 個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)
漏えい等の発生が確実な場合だけでなく、おそれの段階で報告対象となる点に注意が必要です。また、1~3の事態については、個人データの件数に関わらず報告対象となります。
1. 要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)
要配慮個人情報とは、本人の人種、社会的身分、病歴、犯罪歴など不当な差別や偏見その他の不利益生じないように、その取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報を指します。
従業員の健康診断等の結果を含む個人データや病院における患者の診療情報を含む個人データの漏えいした場合、報告義務が発生します。
2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)
これは、クレジットカード情報など、不正に利用された場合、本人に財産的被害を与える可能性のある情報が含まれる個人データの漏えいを指します。
ECサイトからクレジットカード番号を含む個人データが漏えいした場合や送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合が該当します。
3. 不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)
例えば、サイバー攻撃や不正アクセスなど、個人データの取得が悪意を持って、または不正な目的で行われた可能性がある場合を指します。
ランサムウェア等により個人データが暗号化され、復元できなくなった場合や従業員が顧客の個人データを不正に持ち出して第三者に提供した場合などが該当します。
4. 個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ)
1,000人以上の個人データが漏えいした場合、またはその可能性がある場合を指します。
システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合や自社の会員(1,000人超)にメールマガジンの配信を行う際、本来メールアドレスをBCC欄に入力して送信すべきところをCC欄に入力して一括送信した場合などが該当します。
上記事態に該当する漏えい等、又はそのおそれが発覚した場合は、個人情報保護委員会への報告及び本人への通知を行う必要があります。
個人情報保護委員会への報告について
個人情報保護委員会への報告については、速報と確報の二段階で行う必要があります。
| 時間的制限 | 報告内容 | |
|---|---|---|
| 速報 | 報告対象の事態を知ってから「速やかに」 (個別の事案によるものの、当該事態を知った時点から概ね3~5日以内) | 報告をしようとする時点において把握している内容 |
| 確報 | 報告対象の事態を知ってから30日以内 (不正の目的によるおそれがある漏えい等の場合は60日以内) | 全ての報告事項 (合理的努力を尽くしても、全ての事項を報告できない場合は、判明次第、報告を追完) |
本人への通知について
報告対象となる事案が発生した場合、本人への通知を実施する義務があります。本人への通知を実施する際には、状況に応じて速やかに、 概要、個人データの項目、原因などの内容を本人にとって分かりやすい方法で行います。
本人への通知方法の例は、郵送等で送付、電子メールを送信などがあります。また、本人への通知が困難な場合は、HP等での事案の公表、問合せ窓口の設置などの代替措置を行うことも可能になります。
個人情報保護委員会への報告事例
個人情報保護委員会によると、例年、同委員会に報告されている漏えい等事案の報告件数は、なんと約4,000件にも上ります。単純計算で1日当たり約11件の漏えい等事案が発生していることになります。
特に多く発生している事例は、業務用携帯電話や契約書等の機密書類の紛失や宛先相違などによるメール等のご送付、不正アクセスなどがあげられます。
個人情報漏えい等の対策は多くのコストを必要し、投資対効果も見えづらいため、個人情報漏えい対策を後回しにしてしまう企業も少なくありません。しかし、個人情報漏えいの発生は企業にとって重大な影響を及ぼしてしまいます。漏えいの脅威から企業を守るため、そして何よりも大切な顧客が犯罪等に巻き込まれないためにも、しっかりとした個人情報漏えい対策を実施する必要があります。
4. 個人情報を漏えいさせないために
企業の評価は顧客の信頼に大きく依存しており、個人情報の漏えいはその信頼を失墜させる要因となりえます。個人情報漏えい対策を適切に行うことは、企業にとって法的な義務であるだけでなく、経営上も非常に重要なポイントとなります。企業は、漏えいのリスクを最小限に抑えるために、セキュリティ対策の強化や社員の教育を徹底することが求められます。
個人情報の漏えい対策
個人情報漏えいの対策として代表的には以下の対策が挙げられます。
アクセス制御
システムにアクセスできるユーザーを制限し、必要なユーザーのみにアクセスを許可する。これには、ユーザー名とパスワードの設定、二要素認証、アクセス権限の適切な管理などが含まれます。
エンドポイントセキュリティ
エンドユーザーのデバイス(PC、スマートフォンなど)にセキュリティソフトウェアをインストールし、ウイルス、マルウェアなどからデバイスを保護します。
データの暗号化
データを送受信する際、またはデータベースに保存する際に、データを暗号化します。これにより、データが漏えいしても、第三者によって解読されにくくなります。
ファイアウォールの設置
ネットワークに外部からの不正なアクセスを防ぐために、ファイアウォールを設置します。
定期的なセキュリティチェック
システムの脆弱性を定期的にチェックし、必要に応じてセキュリティのアップデートを行います。
社員教育
社員に対して、個人情報の取り扱いに関する教育や、セキュリティに関連するリスクについての教育を行います。
以上のような対策を講じることで、個人情報漏えいのリスクを最小限に抑えることができます。ただし、個人情報の漏えいリスクを完全になくすことはできません。万が一の漏えいに備えて、対応策を準備しておくことも重要です。
特権ID管理ソリューションの活用
特権ID管理ソリューションは、企業のセキュリティを強化する上で非常に重要な役割を果たします。以下は、特権ID管理ソリューションの主なメリットです。
アクセス管理
特権ID管理ソリューションを導入することで、企業は従業員やパートナーのアクセス権を一元管理できます。これにより、不正アクセスや権限の乱用を効果的に防ぐことができます。
セキュリティの強化
特権ID管理ソリューションは、権限の不正使用を検出し、適切なアクションを取る機能を提供します。これにより、セキュリティインシデントのリスクを大幅に削減することができます。
法律や規制への準拠
多くの企業は、法律や規制に準拠することが求められます。特権ID管理ソリューションを使用することで、企業はコンプライアンス要件を効率的に満たすことができます。
システム運用の効率化
特権ID管理ソリューションを導入することで、アクセス権の管理、パスワードのリセット、権限の付与などのタスクが効率化されます。これにより、システム管理者の作業負荷を軽減することができます。
監査とレポート作成
特権ID管理ソリューションは、誰がいつどのリソースにアクセスしたかを記録する機能を提供します。これにより、企業は監査を行いやすくなり、不正アクセスの証拠を収集することができます。
以上のように、特権ID管理ソリューションは、企業のセキュリティを強化し、運用の効率化、コンプライアンスの満足、監査の容易化などの多くのメリットをもたらします。
特権IDの利用状況を正確に把握し、リアルタイムに分析することは、インシデント時の早期発見と適切な対応を可能にします。そのためには、抜け漏れなくアクセスログを取得することが不可欠です。「WEEDS Trace 特権ID管理ソリューション」は、全ての操作を正確に記録し、問題が発生した際の追跡や証拠収集を容易にします。
さらに、「WEEDS Trace 特権ID管理ソリューション」は低コストでの導入が可能です。導入コストを最小限に抑えつつ、セキュリティを強化することが可能です。特権ID管理の最善の手段について詳しく知りたい方、もしくは製品の導入を検討されている方は、ぜひとも資料請求をお願いいたします。
資料請求はこちらから。 ⇒ 特権ID管理の資料をダウンロードする
5. まとめ
個人情報漏えいの発生は、企業の信頼を損なうだけでなく、法的な問題や経済的な損失につながる可能性があります。そのため、企業は、漏えいが発生した際の報告手続きや対応策について、あらかじめ準備しておくことが重要です。法律では、特定の条件下での報告義務や、関係者への通知義務が規定されています。これらの義務に違反すると、法的な罰則につながる可能性があります。
さらに、企業は、特権ID管理ソリューションを活用することで、個人情報の漏えいリスクを大幅に減少させることができます。このソリューションは、従業員のアクセス権を適切に管理し、不正アクセスを未然に防ぐ助けとなります。
このように、法令に則った適切な報告と、特権ID管理ソリューションの活用は、企業の信頼を保ち、法的なリスクや経済的な損失を回避するために、不可欠な要素となるでしょう。
特権ID管理ならウイーズ・システムズにご相談を
ウイーズ・システムズ株式会社は、創業からアクセスログ一筋のセキュリティ専門企業です。内部統制や各種ガイドラインへの対応、情報漏えいなどシステムセキュリティに関するご相談を受け付けております。
特権ID管理における様々な課題にウイーズ・システムズ株式会社が開発・販売する WEEDS Trace「特権ID管理ソリューション」が貢献します。WEEDS Trace「特権ID管理ソリューション」は、特権IDを一貫して統制・管理できる機能を提供しており、情報セキュリティの強化と業務効率の向上が実現できます。
ぜひウイーズ・システムズ株式会社のWEEDS Trace「特権ID管理ソリューション」のご利用をご検討ください。
