罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
企業を標的にしたサイバー攻撃は、ますます深刻化している。セキュリティ対策の進んでいない中小企業を狙った攻撃が増加するなど、企業規模に関係なく被害は広がっている。そして、その手口は多角化かつ巧妙化しており、企業は早急なセキュリティ対策が必要だ。こうした状況に加えて、2022年4月から改正個人情報保護法が施行された。セキュリティ対策に加えて法改正への対応も迫られる。ここでは、個人情報保護法の改正のポイントと、その対応方法を整理し、特に中小企業に最適なセキュリティ対策を解説する。
(Photo/Getty Images)
改正個人情報保護法の“2つのポイント”
サイバー攻撃で用いられるのが、「ランサム(身代金)ウェア」だ。初期のランサムウェアは個人を無差別に狙うものが多かったが、ここ数年は特定の企業を狙う標的型攻撃で多用されるようになっている。最近では身代金の要求にとどまらず、身代金を支払わなければ窃取した情報を公開するという二重脅迫型のランサムウェアが増加しており、より悪質化している。2020年11月には大手ゲーム会社がランサムウェアの被害に遭った。要求されていた身代金の支払いを拒否した結果、1万5000人超もの個人情報が流出した。また、2022年3月には自動車メーカーの子会社がランサムウェアに感染し、国内の全工場が稼働停止する事態となった。このように、昨今のランサムウェアはひとたび狙われたら防ぐことが難しくなってきている。
ランサムウェアの被害が拡大する一方で、情報の取り扱いに関係する法律も変化している。2022年4月1日には改正個人情報保護法が施行された。改正のポイントは大きく2つある。1つは、情報漏えい発生時の報告の義務化だ。従来は努力義務だったが、改正後は個人情報保護委員会に一定の期間内に2段階での報告が義務づけられた。2つ目は罰則の強化だ。命令違反や虚偽報告を行った際の罰金が、最大1億円に引き上げられた。
施行から数カ月経過したものの、改正法へ対応しきれていない企業もあるだろう。特に報告の義務化については、原因や再発防止策など9つの内容について報告しなければならず、情報漏えいが発生した際の体制やフローを整備していなければ対応は困難だ。特に、情報漏えい発生原因の調査にはデジタルフォレンジックと呼ばれる専門調査による詳細な被害分析が必要になるが、パソコンの操作履歴を確認できない場合、高額な費用をかけても十分な調査ができない可能性が高い。
かといって、中小企業にとっては専任の担当者がいない場合もある。本来の業務にIT関連業務を兼任するケースやひとり情シスも多く、「何から手を付けたらいいのか分からない」のが現実だろう。ここからは改正個人情報保護法への対策を構築しながら、情報漏えいから会社を守る方法について解説する。
この記事の続き >>
・情報漏えい対策には「3つのさせない」体制づくりが重要
・今できる基本の情報セキュリティ対策
・改正個人情報保護法にどう対応? 改正電帳法やインボイス制度にも
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
