改正個人情報保護法が4月施行
今考えるべき中小企業にとっての情報漏洩
メールを経路とした「エモテット」(※1)による取引先からの感染報告、ショートメールやフェイスブックメッセンジャーなどの不正メール被害も友人などから聞くようになりました。
一方、4月に改正個人情報保護法が施行されて、ネット検索すれば「改正法をわかりやすく解説」というような見出しが並び、関連セミナーの広告も上位に現れます。
YouTubeでもサイバー保険を扱う損保会社や、不正ログを調査するなどの専門会社からの発信を多くみかけるようになりました。
今どんな対策をとるべきか。情報漏洩への認識を新たにする機会ではありそうです。
そこで、専門部署のない中小企業の方や自社ホームページの運用に携わっている方に知っておいて欲しいこと、弁護士、Webコンサルタント、Web制作会社経営者への取材を通してレポートしました。
※1 エモテット:悪意のあるソフトウエアの総称でマルウェアのひとつ。いかにもありそうな件名のメールが付き合いのある取引先から届き、添付された圧縮ファイルを開いたら感染してしまいます。文末に自分が送信した本文が引用されていたりするなどで警戒心を持たずに開封してしまう人が多い。一般社団法人JPCERTコーディネーションセンターが感染確認ツール「エモチェック」を公開しています。
改正法のポイントは
まず、4月1日に施行された改正個人情報保護法(以下/改正法)については、個人情報保護委員会のホームページに8つのポイントが挙げられています。
- 漏えい等報告・本人通知の義務化
- 外国にある第三者への提供
- 保有個人データの開示方法
- 個人データの利用の停止・消去等の請求
- 公表等事項の充実
- 不適正利用の禁止
- 個人関連情報
- 仮名加工情報
改正法で企業の責任がより重くなった印象がありますが、気になるのは「漏えい等報告・本人通知の義務化」です。漏洩のおそれがあるときでも、事業者は速やかに個人への通知と個人情報保護委員会へ報告しなければならなくなりました。保護委員会への速報は3~5日以内、確報は漏洩で30日以内に、不正アクセスで60日以内に提出しなければなりません。
目を引いたのは、報告義務に違反した場合の法人への罰金が旧法では「30万円以下」だったのが「1億円以下」に変更になっています。
報告義務のリスクより損害賠償
筆者がまず知りたかったのは「罰金1億円」とはどういうことなのか。
この点について、中小企業がひしめく埼玉県川口市に拠点を置く南埼玉法律事務所代表の高倉光俊弁護士に聞きました。
高倉弁護士は、「報告を怠ると『ちゃんと報告しなさい』という勧告がある。それに対応しないとさらに命令がある、それにも従わなかったら罰金ということです。ただ、個人の重大な権利利益を害する事実があるために緊急に措置をとる必要があるときには、勧告なしで命令が出ることはあります。
起きた事態が報告対象なのかどうか、周囲に専門家がいない場合はまず商工会議所などに相談窓口を求めるのが良いと思います」
報告義務の対象として、要配慮個人情報(※2)やクレジットカード番号の漏洩のおそれ、1000人以上の個人データ漏洩のおそれなどが示されていますが、確かに判断が難しい場合は多そうです。
※2 要配慮個人情報:人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、不当な差別や偏見などの不利益が生じないように取扱いに配慮すべき個人情報のこと。
個人情報と個人関連情報
「個人情報」は、特定の個人を識別できる「個人の情報」ですが、改正法で新たに登場してきたのが「個人関連情報」。クッキー(Cookie)やIPアドレス、位置情報などがそれにあたります。
たとえば購買履歴など個人情報のないデータAを取得し、第三者にデータAを提供した場合、第三者がデータAと別の所持していたデータBを結び付けた時、共通するIDで紐づけるなどして個人が特定できるようになるケースがあります。その場合、第三者に提供したデータから個人情報が得られるということになります。
そういう可能性がある場合は、個人の同意が得られていることが義務付けられました。
中小企業の危機意識
中小企業の現状については、Webコンサルティング会社㈱ラウンドナップの中山陽平代表に聞きました。
「今のところ、改正法絡みの相談案件はありません。薬機法や景品表示法を踏まえたWeb広告の表現などには慎重を期している会社が多いのに比べると、そもそも個人情報保護への意識は低いです。
業務管理全般をカバーする大手のクラウドサービスを利用している会社が増え、たとえばサイボウズ、セールスフォースとか有名ブランドはセキュリティもちゃんとしています。
それと、業務でパソコンを使わない人が増えてきた。営業報告も日報もスマホ。パソコンを使わないことで情報漏洩の意識が高まらないこともあるかもしれない。
自社で作ったCGIを使ったような古いシステムを使い続けている会社には、速やかに変更したほうが良いと促します」
クレジットカード不正利用のほとんどが番号盗用
一般社団法人日本クレジット協会が公開しているクレジットカードの不正利用の統計によれば、カード偽造による被害額が2014年の19.5億円から2020年に8億円と減少したのに対し、カード番号情報で不正に決済された被害額が2014年の67億円から2020年に223.6億円と激増しています。
エモテットはランサムウェアへの布石
「エモテット」感染を公表する企業ニュースが増えました。
3月には、サイバー攻撃によってトヨタ自動車が国内全14工場28ラインを1日停止することになったニュース。感染元は部品仕入先の小島プレス工業の子会社で、一部では「エモテット」だったと報じられました。
エモテットを「変なメールが来ただけ」という程度の認識の方もいるようですが、サイバー攻撃の布石となりますし最終的にはランサムウェア(※3)に繋がっていく可能性があります。
自社への感染がいわゆる「踏み台」となって、得意先などに被害が生じたり、または得意先が加害側に立たされてしまう恐れがある、ということを確認してください。
※3ランサムウェア: Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語。感染から修復させることと引き換えに「身代金」を要求するマルウェアです。
サイバー保険
調査や復旧に係る費用や損害賠償に備える「サイバー保険」。日本では2016年から三井住友海上、あいおいニッセイ同和、損保ジャパン、東京海上日動AIGの5社が扱っています。
損害保険会社代理店で働く友人は「企業間の取引の際に『サイバー保険に入っているかどうか』が問われる時代がくる」と言いますが正直その実感はありません。
ただ、パソコンもスマホも業務とプライベートの境目が曖昧だから補償範囲が気になると聞くと「社員がUSBメモリを電車に置き忘れた、Gmailで業務を行った際にウィルス感染したのケースは補償対象」という答えでした。
損保各社が契約数を伸ばしているのは事実のようです。
弁護士の視点
どんな対策をとっても未知のマルウェアがあり、その手口はどんどん高度化しています。
エモテットに感染してしまったことは、過失にあたるのでしょうか。
“令和のビジネスマンは不審な添付ファイルは開かないというのが常識“かどうかを裁判所が判断することになります。
判例はまだないようですが、高倉弁護士の指摘は納得できます。
「以前からある『USBメモリを落とした』『FAXの誤送信』などクラシック型ともいうべき情報流出の典型は過失が認められやすいですが、高度化したサイバー攻撃による被害については、そもそもの過失の立証が難しいのではないでしょうか。
ただ、アンチウイルスソフトを導入していない、暗号化していないなど、通常要求されるセキュリティ対策すらされていない場合は、過失が認められる可能性が高くなると思います」
改正法施行が集団訴訟を後押し?
高倉弁護士は別の観点の危惧についても指摘しました。
「中小企業にとっては情報漏洩による損害賠償金が大きなリスクですが、たとえば漏洩データ1件あたりの損害額が500円とした場合、個人が500円のために訴訟は起こしませんよね。起こすなら集団訴訟ということになりますが、日本では集団訴訟の事例は少ない。
でも最近、弁護士費用などの経費をクラウドファンディングで募る例が出てきました。情報漏洩による損害賠償を認める判決が続けば訴訟を後押ししますし、改正法施行がきっかけでメディアが報じるようになって情報漏洩による損害賠償訴訟が注目されれば、集団訴訟に対するハードルが低くなるということに繋がるのかもしれません」
自社ホームページに関しての備え
年間100社のサイト公開に携わっているWeb制作会社㈱タブコード取締役でWebディレクターの新田洋祐氏にホームページ運用に関わる備えについて聞きました。
「まず、ホームページで情報を取得しているなら、SSL化(通信の暗号化)は最低限。あとは、データベース、PHPなどのプログラム、ワードプレスなどのCMSとプラグイン、これらにおいて適切なバージョンアップを行っているかどうかが肝心です。社内で専門知識を持つスタッフがいないのであれば制作会社などに問い合わせてください。
同じように大切なのがログイン情報の管理です。パスワード強度チェッカーで確認してみてください。数字、大小英文字、記号を含めた10文字以上がおすすめです」
中山氏のアドバイスは、「ネット通販が一般化して、カード情報が盗まれているケースが加速度的に増えています。事業者側の備えとしては、セキュリティ対策のしっかりしている大手の決済代行会社と連携するようにしてカード情報を自社で持たないことをお勧めしています」
正しい情報源と相談できる専門家を持つこと
情報の穴はどこにあるかわからない。だからこその心構えとは。
新田氏は、「家で言えば、窓に鍵をかけていても泥棒に入られてしまうことがあるように、情報漏洩を100%防ぐのは難しい。でも窓に鍵をかけないよりはいいし、二重窓にすればより良い。そして泥棒に入られたと知ったら即、警察110番に連絡するように、即時相談できる専門家を決めておくことも必要。オフィスネットワークを担当する商社でもいいかもしれません」
中山氏は、「最低限、何かあったときにどこに相談してどうするのかを決めておいて欲しいです」
「IPA独立行政法人情報処理推進機構」はぜひチェックを
最期に、普段からチェックしておいてほしいサイトを紹介して本稿を締めます。
まず「IPA独立行政法人情報処理推進機構」は登録してチェックしてほしい。経済産業省所管の独立行政法人です。日本のIT国家戦略を技術面・人材面から支えるために設立された組織で、一般の方にもわかりやすく書かれていて安心です。
◇IPA独立行政法人情報処理推進機構
https://www.ipa.go.jp/index.html
次に、「義務付けられた報告先」でもある個人情報保護委員会。改正法についても漫画などでわかりやすく紹介しています。
◇個人情報保護委員会
https://www.ppc.go.jp/index.html
最期は警視庁。さすがサイバー犯罪対策に関する情報が満載。一読の価値があります。
◇警視庁・情報セキュリティ広場
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/index.html
◇取材協力/
株式会社ラウンドナップ https://www.roundup-consulting.jp/
南埼玉法律事務所 https://minamisaitama-law.com/corporate/
株式会社タブコード https://tabcode.co.jp/
◇取材・文/
ともたか ウェプレス編集担当、ライター