サイバー攻撃の高度化と個人情報漏洩リスク

高度化するサイバー攻撃の手口と減らないランサムウェア被害

まず意識すべきなのは、サイバー攻撃とそれに伴う個人情報漏洩リスクだ。サイバー攻撃の手口は年々高度化しており、VPN機器の脆弱性を狙ったものから、特定企業を狙ってメールやウェブサイトを介してスパイウェアを送り込む標的型攻撃、セキュリティ対策が不十分な中小企業から侵入し大手企業を狙うサプライチェーン攻撃、Webアプリケーションの脆弱性を利用してデータベースを不正操作するSQLインジェクション、ランサムウェア等、枚挙に暇がない。特にここ数年被害が多いのはランサムウェアだ。ランサムウェアとは感染したコンピュータやネットワーク上のファイルを暗号化し、ユーザーがそれらのファイルにアクセスできなくする悪意のあるソフトウェアの一種だ。攻撃者は暗号化されたファイルを復元するための鍵を提供する代わりに身代金を要求してくる。警察庁が公開する企業・団体等におけるランサムウェア被害の報告件数を見ると2023年で197件となっている。2022年の230件と比べると数字上はやや減少しているが、ランサムウェアを使用せずにデータを窃取し対価を要求する手口による被害が新たに30件確認されたことも考慮すると、実質的にランサムウェア被害の件数は依然高水準のままだ。

個人情報保護法と個人情報漏洩時の対応

サイバー攻撃による漏洩と深い関係を持つのが個人情報保護法だ。個人情報保護法は、個人情報の有用性に配慮しながら、個人の人格的、財産的な権利利益を侵害から守ることを目的として20035月に制定された。20054月に全面施行されたのち、その後も社会環境の変化に応じて改正が重ねられてきている。

近年、企業側の対応に大きく影響したものとして、20224月に施行された改正がある。この改正の大きなポイントは、今まで個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告および本人への通知が努力義務とされていたものが、法律上の義務として変更された点だ。以下に該当する個人データの漏洩またはそのおそれが発生した場合には、個人情報保護委員会への報告および本人通知が必要になる。

① 要配慮個人情報が含まれる事態

② 財産的被害が生じるおそれがある事態

③ 不正の目的をもって行われた漏洩等が発生した事態

 1,000人を超える漏洩等が発生した事態

サイバー攻撃によって個人データが漏洩またはそのおそれがあると分かった場合は③の条件に該当するため、その時点で個人情報の項目や本人の数に関わらず、個人情報保護委員会への報告および本人通知が必要となる。

しかしこれらの対応は容易ではない。個人情報保護委員会への報告には「速報」と「確報」がある。ガイドラインによると、まず「速報」は事態を知った後、「速やかに」報告しなければならないが、この「速やかに」の目安としては、個別の事案によるものの、事態を知った時点から概ね35日以内が期限とされている。「確報」の期限は通常30日以内とされているが、不正の目的をもって行われた漏洩等の場合、つまりサイバー攻撃の被害による場合には、60日以内とされている。「確報」では以下の事項の全てを報告しなければならない。

  1. A) 概要
  2. B) 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. C) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  4. D) 原因
  5. E) 二次被害又はそのおそれの有無及びその内容
  6. F) 本人への対応の実施状況
  7. G) 公表の実施状況
  8. H) 再発防止のための措置
  9. I) その他参考となる事項

60日という数字を見ると「確報」の期限は余裕があると感じるかもしれない。しかし実際の対応現場では調査に膨大な作業工数がかかり、時間が足りないケースばかりだ。

例えば攻撃者に社内ネットワークに侵入され、数十台のファイルサーバーに不正アクセスの痕跡が見つかったケースを考えてみる。まず調査は被害範囲、攻撃者に閲覧された可能性があるファイルサーバーの特定から始まる。あらゆるログを分析し、攻撃者に閲覧された可能性があるファイルサーバーまで絞り込んだとする。次に絞り込んだファイルサーバーに個人データが存在するかが論点になる。この時、個人データの棚卸を常日頃から実施している企業であれば速やかに次の調査ステップに進めるはずだが、実際はどのファイルサーバーのどのフォルダに、どれだけの個人データが保管されているかを適切に把握している企業は少ない。個人データを把握していないとなると、まず個人データを含むファイルサーバーの特定に時間がかかる。次に個人データを含むファイルサーバーを特定したあとは、膨大な量のファイルの中から、報告および本人通知の対象となるファイルをしらみつぶしに探す作業が待っている。また個人情報保護委員会への報告には、氏名、生年月日、性別、住所、電話番号、メールアドレス等の漏洩のおそれがある個人データの項目と、本人の数の報告が必要であり、本人に対しては漏洩のおそれがある個人データの項目等の通知も必要だ。そのため一つひとつのファイルを調べる際には、表計算ソフト等の管理表に、漏洩対象者単位で漏洩のおそれがある個人データの項目までまとめる必要がある。これが個人データの調査に膨大な作業工数がかかる理由だ。

これらの煩雑な調査手続きを経て、ようやく「確報」の報告事項の一部を準備できるのだが、個人データの調査を実施している間には、他にも取引先や行政機関からの問い合わせ対応、ステークホルダーへの情報開示、再発防止策の検討等も併行して必要になる。ゆえにサイバー攻撃によって個人情報漏洩が発生すると、その対応に膨大な工数がかかり、確報の60日という期限もあっという間に訪れる。

個人情報漏えいリスクと漏えい時の対応負荷を低減するためのポイント

今やセキュリティ対策にあらゆる企業が力を入れている。しかし一方で、100%完全なセキュリティ対策が現実的には困難であるにも関わらず、サイバー攻撃が起きてしまった後の対策を十分に準備している企業は少ない。サイバー攻撃を防ぐための対策も重要だが、起きることを想定して対応負荷やリスクを低減する対策も重要だ。個人情報の漏洩に備えて、企業が取り組むべきポイントを以下に列記する。

・ データマッピングによる個人情報を含むパーソナルデータの所在の可視化

・ 個人情報を含むパーソナルデータの棚卸と保有不要なデータの定期的削除

・ 個人情報を含むパーソナルデータに対する適切なアクセス権の付与と暗号化

・ サイバー攻撃を早期発見するためのログの監視体制の構築

・ サイバー攻撃被害が発覚した時に速やかに相談できる専門家との関係づくり

・ オフラインバックアップ

パーソナルデータの利活用に伴うプライバシーリスク

パーソナルデータの利活用とプライバシー問題

インターネットやスマートフォンの普及により、私たちは生活のあらゆる場面で自身のパーソナルデータを企業に提供する機会が増えた。パーソナルデータとは「個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含む」と、総務省が発行した「平成29年版 情報通信白書」で定義されている。個人情報が特定の個人を識別することができるものであることに比べて、パーソナルデータは個人を識別できるかは問わない。パーソナルデータは個人にまつわるあらゆる情報といっても差し支えない。データ処理技術の向上により、企業はこれらの多くのパーソナルデータを高速かつ詳細に分析できるようになり、消費者の行動や嗜好に合わせたマーケティングの展開や、消費者一人ひとりのニーズに合わせたサービスや製品を提供する等、パーソナルデータをビジネスに活用しようとする企業が増えている。

一方、個人情報漏洩やパーソナルデータの不正利用、プライバシー侵害といった事件も増え、ニュースで頻繁に報道されるようになった。それにより社会や消費者が自身のパーソナルデータがどのように扱われているか不安を覚える場面が増え、プライバシーへの意識も変化した。今やソーシャルメディアの普及によって、情報が瞬時に広範囲に拡散される世の中だ。ひとたびパーソナルデータの取り扱いについて社会や消費者が疑念を持つと、SNS等を通じて批判が集中し、瞬く間に炎上するリスクを企業は抱えている。このようなパーソナルデータの利活用によって生じる炎上リスクを回避するためには、法令順守やセキュリティ対策のみでは不十分であり、プライバシーガバナンスの構築とそれによる消費者の信頼確保が重要だ。

プライバシーガバナンスの構築

総務省のHPによると、「企業のプライバシーガバナンス」とは、「プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させること」と説明されている。ポイントはプライバシー問題に焦点を当てて経営者がコミットすることと、消費者の信頼確保と企業価値向上に目的を置いている点だ。従前は、個人情報を含むパーソナルデータの取り扱いに関して企業が対応を検討するとなると、個人情報保護法や法令順守のことを考えていたのではないだろうか。無論、法令順守は重要だ。しかしそれだけでは前述のようなSNS等のソーシャルメディアを介した炎上は回避しきれない。だからこそ企業は単なる法令順守の枠組みを超えて、プライバシーに配慮してビジネスを推進し、消費者との能動的なコミュニケーションによる信頼確保が求められている。

総務省と経済産業省が公表する「DX時代における企業のプライバシーガバナンスモデルガイドブックver1.3」では、以下が重要項目とされている。

■ プライバシーガバナンスの重要項目

    ① 体制の構築

    ② 運用ルールの策定と周知

    ③ 企業内のプライバシーに係る文化の醸成

    ④ 消費者とのコミュニケーション

    ⑤ その他のステークホルダーとのコミュニケーション

プライバシーガバナンスはビジネスの守りの側面だけでなく、パーソナルデータ利活用のメリットを最大化する攻めの側面も持つ。プライバシーガバナンスの構築に際し、自社の競争優位性を確立する重要な手段であることや、企業価値の向上につながるといった目的意識を組織に浸透させることも重要だ。

プライバシー影響評価(PIA

プライバシーリスクに適切に対応する手法の一つに、プライバシー影響評価(PIA)がある。プライバシー影響評価はまず企業がパーソナルデータを扱う新しいサービスやシステムの導入を検討する段階で実施し、プライバシーに関わる問題やリスクを洗い出し、分析、評価した内容に応じて対策を検討する。さらにリリース判定のタイミングで、事前に検討した対策によってプライバシーリスクが低減されているかを再度評価する。もしリスクが残っている場合は、サービスやシステムをリリースした後の対応等も検討する。実施結果は経営者に報告するとともに、必要に応じて対外的に公表することも消費者やその他のステークホルダーからの信頼を獲得するために有効だ。

プライバシー影響評価は2021年に個人情報保護委員会から「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点」というタイトルの資料で公表され注目されている。また既にEU一般データ保護規則(GDPR)では、データ保護影響評価(DPIA)という仕組みが特定の場合に義務付けられている。世界各国の法律や規制で、プライバシーの影響を評価する仕組みが採用されてきていることからも、今後日本でもプライバシー影響評価(PIA)が義務化される可能性がある。

おわりに

個人情報やパーソナルデータの取得、利活用の場面が増えたデジタル社会において、個人情報漏洩やプライバシーの問題は企業にとって重要なテーマであり、様々な潜在的リスクを抱えている。しかし情報技術、サイバー攻撃、法規制、プライバシー意識といった社会環境が目まぐるしく変化する中、そのリスク対策に一様の答えはない。個人情報漏洩やプライバシーの問題には、社会環境の変化を適時に捉え、継続的にリスク対策を検討する組織体制作りが重要だ。本稿が貴社の組織で個人情報やプライバシーについて改めて考える一つのきっかけになれば幸いだ。

※本文中の意見や見解に関わる部分は私見であることをお断りする。