社会全体がデジタル化に向けて進んでいる今、情報セキュリティに関する意識も高まっています。特に企業にとって予期せぬインシデント発生時の対策を策定することは、喫緊の経営課題といえるでしょう。平時、有事にそれぞれ何を成すべきか。リスクマネジメントに精通し、実務経験も豊富なTMI総合法律事務所の寺門峻佑氏に解説してもらいました。(聞き手:編集部 村上尚矢、キムヨンミ)
寺門 峻祐氏
TMI総合法律事務所
パートナー弁護士
リスクマネジメントをはじめ、データ活用と情報セキュリティの実務に精通し、NISCタスクフォース、経産省臨時専門アドバイザー、陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザーを歴任。国内外のデータ・ITビジネスのサービス設計・契約・紛争、様々な業界のセキュリティインシデント対応を多数取り扱う。情報処理安全確保支援士。米国、エストニアでの法律事務所勤務の経験も有する。
平時から情報の可視化に努め、定期的にその見直しを実践
――デジタル化が推進される現代において、企業は所有する各種情報の管理方法・体制をどのように整えていくべきでしょうか。
まず、どのような種類の情報について、どのような方法で取得し、それらを社内におけるどのようなサーバーで保存・管理し、どのような目的で利用しているか、また、それらをどのような外部事業者などに対して提供しているのか、詳細な棚卸し調査を行って、一連のデータフローを可視化するという、いわゆるデータマッピングをすることが必要です。なかでも社内の様々なデータソースに点在する個人情報を把握することは特に重要です。昨今は大量の個人情報流出といったインシデントが多発していますから、十分に配慮し安全性を確保することが大切です。大量の情報の中から「個人情報に該当するもの」や「営業秘密に該当するもの」など重要な情報をチェックし、常に状況を把握しておくのが有効でしょう。サーバーなどへのアクセス権限を誰が持っているか、保有する情報を将来的にどう利活用する予定であるのか、といったことを把握することも非常に重要になります。
このデータマッピングには、守りと攻めの両面における重要なメリットがあります。守りという点では、インシデント発生時の影響範囲の確定に役立つということが挙げられます。また、データフローや情報の管理体制をきちんと把握できていれば、その管理方法が業界スタンダードに沿った適切なものといえるのかについても検討できるはずです。
一方、攻めという点では、それぞれの情報のデータフローや活用範囲を明確にすることで、違法な活用を防ぐといった効果にとどまらず、その理解を前提に、様々な情報活用戦略を立てていくことも容易になります。これは企業にとって大きな意味を持つでしょう。個人情報含め、重要情報は大量に存在しますから、それらを一元管理し、可視化することは必須であると考えます。
――情報の一元管理、可視化は一度行ったら十分というものではないと思います。どんなタイミングで見直しを行うべきでしょうか。
近年、適切な情報セキュリティマネジメント体制を構築するなどの試みは、幅広く行われていると感じます。しかし、実際にはそうした体制の維持・運用がうまくいっていないケースがあります。内部監査に合わせて年に1度の見直しは最低限行うべきですし、新規ビジネスの立ち上げやサービス提供範囲の拡大などのタイミングに合わせて情報管理体制の見直しをしなければなりません。要は最低限、年ごとの情報の棚卸しを行うことに加えて、新規ビジネススタート時には必ず情報管理体制そのものの見直しを行うといったように、随時体制を更新していく試みが大切です。
デジタル化が急速に発展した環境では、外部サービスやツールの導入を視野に入れた管理体制の構築・運用方法の検討が必要になります。あわせて、海外法令が適用される事案も増えてきており、かつ、各国が規制を強化する傾向にあるため、こうしたポイントに関して適時に専門家のアドバイスを取り入れることも考慮すべきです。
プロジェクトチームを立ち上げ、経営者主導でインシデント対応に取り組む
――平時において、企業はどんなインシデントの発生を想定しておくべきでしょうか。
企業により想定すべきインシデントは変わってくると思いますが、あらゆる企業に共通して発生する可能性が高いのはランサムウエアなどによるサイバー攻撃、その他各種不正アクセス事案です。それ以外にも、貸与PCの紛失やメールの誤送信といったミスは誰もが犯す可能性があり、実際に頻発しているので、十分に注意する必要があります。加えて、残念なことに、未だに減らないのが、内部者の故意による情報の持ち出しです。これらのインシデントは企業が基本的に想定し、平時から対策を講じておくべきだと考えます。
――それらを踏まえたうえで、経営者がリーダーシップを持って取り組むべき項目はありますか。
まずは、適切なメンバーをアサインしてプロジェクトチームを立ち上げ、情報セキュリティマネジメント体制を構築し、適切に運用するための一連の予算をしっかり確保したうえで、自社の現状を見直すことが、経営者の大きな役割です。それを実施すれば、抱えている具体的なリスクを把握し、対策の優先順位を決定できます。「何か」が起こった場合に責任を問われるのは経営者ですから、その意識は強く持っていて欲しいと思います。
――情報システム運用継続計画(IT BCP)に関してはどう考えていますか。
BCPについては何らかの形で体制を整えている企業がほとんどかと思われますが、IT BCPに関してはやや認識が浅い企業もあるという印象です。BCPとIT BCPは明確に区別して検討すべき事案でしょう。
IT BCPを整備している企業であっても、2022年4月1日に施行された改正個人情報保護法に準拠していない場合が意外に多いです。これは、個人情報漏洩インシデント対応に関して、情報システム部門と法務部門、コンプライアンス部門などが、個別に対応していて連動していないために起こることです。例えばインシデント発生時において、情報システム部門は、被害拡大防止策の実施、調査による原因究明、IT復旧、システム環境に対する再発防止策の策定などを行いますが、改正個人情報保護法に則って、個人情報保護委員会への報告、被害者本人への通知について、その内容や公開タイミングを検討のうえ実施するのは、法務部やコンプライアンス部になります。また、取引先などへの説明については、事業部門が行うことが適切な場合もあります。こうした対応のプランニングについて、各部署の連携がない企業は、IT BCPの体制としては十分ではないといえるでしょう。
この対策としては、部門横断でIT BCPに向き合うチームをつくることを推奨します。簡単なように思えて実現が難しい企業が多いと思いますが、このチームが平時からインシデント発生時のシミュレーションを行い、インシデント発生時にはこのチーム主導で対応できるように準備することが重要です。何も特別なことを行う必要はありません。ただやるべきことを地道にやっておくことで、結果的にはそれが功を奏するでしょう。
また、社内にセキュリティ管理委員会を設置し、四半期に一度メンバーを招集して、それまでに国内外で発生し、報道などされたインシデントを報告、それが自社で起こった場合どう対処するかなどを議論することも推奨します。同時に、その期間に起きた自社内でのヒヤリハットを共有し、対応策を議論して議事録を残すことが重要です。これらの取り組みに関して、外部専門家も関与させ、適宜アドバイスを得ておくことが、インシデント発生時に企業としての説明責任を果たす際に役立ちます。
情報漏洩に関しては、常にスピーディーな対応が求められる
――改正個人情報保護法、それからEU一般データ保護規則(GDPR)に関連して、どんな対策を立てておくのが有効ですか。
改正個人情報保護法では、センシティブ情報の漏洩、カード決済情報漏洩、サイバー攻撃などによる不正アクセス事案、内部不正による情報持ち出し事案、個人情報の漏洩件数が1,000件を超える大規模漏洩事案が発生した場合などにおいて、個人情報保護委員会への報告と被害者への通知が義務化されています。インシデントを検知してから速報を出すまでのスピード感に、現状の自社の体制で対応できるかについて、まず検討が必要です。具体的には、個人情報保護委員会への速報については、カレンダーベースで3〜5日以内の対応が求められます。
また、GDPRに関してですが、これは改正個人情報保護法よりも厳しい規則となっており、インシデント検知から72時間以内に海外当局への報告が必要になります。適切に対応するためには、平時からGDPRの適用対象となる個人データを管理し、報告先がどの国、どの機関となるかを把握している必要があります。有事が発生してから報告すべき国と機関を検討していては間に合わない可能性が高いです。また、GDPR適用対象のデータの取り扱いは、個人情報保護法適用対象のデータの取り扱いとは完全に分け、別途、海外個人情報取扱規程やインシデントマニュアルなどの形で用意しておくべきでしょう。GDPRなどの海外法令対応は、日本法対応とは別ルールになりますから、その点を意識して議論しておくことをお勧めします。
