脅威を増すサイバー攻撃に備える サイバーセキュリティ Chapter 3

CYBER SECURITY

防ぎきれないサイバー攻撃
万が一のときの備えとしての選択肢、「サイバー保険」

様々な対策を行っても、サイバー攻撃を完全に回避・防御することは困難です。
取り得るべきセキュリティ対策を行いつつも、「完全に回避・防御することはできない」
という前提のもとで、いかに早期に被害からの復旧・回復を図るかを考えることも必要です。
また、サイバー攻撃以外の要因(「メール誤送信」「紛失・盗難」「社内不正)による
情報漏えいリスクもあり、リスクはなかなか防ぎきれません!
今回は、防げなかったときに備える一助として、最近話題の「サイバー保険」について
ご紹介させて頂きます。

2022年4月施行 改正個人情報保護法 押さえるべき6つの改正ポイント

個人情報保護委員会は、平成27年の個人情報保護法の改正以来、社会・経済情勢の変化を踏まえて、令和元年1月に示した
「3年ごと見直しに係る検討の着眼点」に即し、3年ごとに個人情報保護法の見直しを進めてきました。
今回の改正は、3年ごと見直しの過程で、得られた共通の視点を反映したものです。
日本国内の事業者は規模関係なく対応範囲や罰則が大幅に強化され、これまでは問題がなかった取り扱いも、
罰則の対象になる可能性があります。本章では、改正個人情報保護法の概要を簡単にまとめます。

■個人情報の取り扱いが厳格化!改正法の6つのポイント

今回の改正範囲は多岐に渡りますが、ざっくりと言えば、
・個人情報の取り扱いが厳格化され
・漏えい時には通知が「完全義務化」され
・「厳罰」が科される
ことになりました。

今回の改正点を具体的にまとめると、大きく以下の6つに分かれます。
1.個人の権利保護が強化される
2.事業者の責務が追加される
3.新たな認定団体制度が加わる
4.データ利活用の施策
5.ペナルティの強化
6.外国の事業者への罰則が追加される

それぞれをもう少し詳しく以下にまとめます。

①個人の権利保護が強化される

個人の権利利益の保護に対する措置として、以下の変更が加えられています。

・利用停止・消去などの個人による請求権の範囲を拡充する。
・保有個人データの開示方法を本人が指示できるようにする。
・第三者提供記録を本人が開示請求できるようにする。
・短期保存データを開示、利用停止などの対象とする。
・オプトアウト規定について、不正取得された個人データやオプトアウト規定で提供された個人データも対象外とする。

②事業者の責務が追加される

これまでは、個人情報が漏洩した際の報告などは努力義務とされており、法的な義務ではありませんでした。
しかし、改正後は、個人情報の漏洩によって個人の権利利益が侵害された場合には、個人情報保護委員会への報告、および本人への通知を行わなくてはなりません。
また、企業による個人情報の活用が、違法行為や不当行為の助長や誘発につながることがないよう、不適正な方法での個人情報の利用を禁止する内容も明文化されました。

③新たな認定団体制度が加わる

個人情報保護法では、個人情報保護委員会以外にも、民間団体を活用した情報保護を行っています。
これを「認定団体制度」といいます。今回の改正によって、企業の特定分野や部門を対象とする団体も認定団体として登録できるようになり、認定団体制度が拡張されました。

④データ利活用の施策

データの利活用を目的に、「仮名加工情報」制度の新設と事業者義務が緩和されます。
これまでは、個人情報を加工する事で個人を特定できないように変換し、その利用に関連した様々な制約やルールが科されていましたが、利活用の鈍化につながっていました。
そこで、「仮名加工情報」制度を新設し、対象のデータに関しては事業者の義務が緩和されます。

⑤ペナルティの強化

今回の改正後は特に法人に対する罰金刑の上限額が大きく引き上げられる以下の変更が加えられました。
・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる
・命令違反等の罰金について、法人と個人の資力格差等を考慮し、法人に対しては行為者よりも罰金刑の最高額を引き上げる
罰金引き上げの背景として個人情報保護法に違反が増加するなか、事業者の実態を把握するための報告徴収や立入検査の実効性を高める必要性が議論になったことが挙げられます。
具体的な懲役刑、罰金刑の引き上げは以下の表のとおりです。

具体的な懲役刑、罰金刑の引き上げの表

⑥外国の事業者への罰則が追加される

日本在住の人の個人情報を扱う外国の企業も、報告徴収や立入検査など罰則の対象になります。
今回の改正によって、海外企業において個人情報の扱いに問題が生じた場合にも、具体的な是正措置を行うことが可能になります。
さらに、外国の第三者へ個人情報を提供する際は、移転先事業者における個人情報の取り扱いに関して、本人へのより充実した内容の通知が必要です。

万が一、サイバー攻撃を受けてしまったら 企業に求められる行動とそのコスト

■ 2021年9月までに起きた主なランサムウェア被害一覧

サイバー攻撃を受けた場合、各種対応が必要になります。この場合のコストは中小企業でも数千万円~になる可能性があります。

想定される費用損害の例

「サイバー保険」の必要性 「サイバー保険」の補償概要

様々な対策を行っても、サイバー攻撃を完全に回避・防御することが困難であることを今まで述べてきました。また、サイバー攻撃以外の要因(「メール誤送信」「紛失・盗難」「社内不正)による情報漏えいもあり、事業者のリスクは増大傾向にあります。
本章では、防げなかったときに備える一助として、最近話題の「サイバー保険」について説明致します。

■ サイバー保険が補償する範囲は?

あらためて定義すると、サイバー保険とは、"不正アクセスなどのサイバー犯罪によって発生した被害を、包括的に補償する損害保険商品"です。
補償される範囲は、保険会社や契約内容によって異なりますが、柱となるのは以下の項目です。
・事故発生時の調査費用
・損害賠償(被害者に対する賠償金、訴訟費用など)
・事故対応(コールセンター設置、メディア対応など)費用
・事業停止による利益損害

この他にも、
・再発防止のためのコンサルティング費用
・システム構築・再構築費用
・風評被害の防止費用
・海外における損害賠償や訴訟費用

サイバー攻撃への対応の流れとサイバー保険の補償内容の一例

「サイバー保険」に入っているだけではダメ。しっかりと事前準備を サイバー攻撃から企業を守る

もしかしてサイバー攻撃? 万が一、貴社がサイバー攻撃のおそれ、システムや機器の不具合など、情報システムに関する軽微なトラブルに見舞われた際に備えて、事故原因・被害範囲の調査や事故対応のコンサルティング等について、
経験豊富な専門業者による体制を構築しておく必要があります。
もしかしてサイバー攻撃? 万が一、貴社がサイバー攻撃のおそれ、システムや機器の不具合など、情報システムに関する軽微なトラブルに見舞われた際に備えて、事故原因・被害範囲の調査や事故対応のコンサルティング等について、
ネットランドはすべてに対応可能です。

■ 準備しておきたい業務体制

調査・被害拡大防止・応急対応 等 セキュリティベンダ データ復旧 等 データ復旧デジタルフォレンジック業者 コールセンター設置立ち上げ 等 コールセンター業者 WEBモニタリング・援助対策 等 ネット炎上対策業者 謝罪広告・メディア対応支援 等 PR業者
Chapter1へ戻る
サイバーセキュリティ特集トップ