JPAC 一般社団法人日本プライバシー認証機構ブログ

日本プライバシー認証機構 ブログ

消費者と事業者の信頼の中心に

  • 政府による「サイバー攻撃被害に係る情報の共有・公表ガイダンス」

    2023年3月13日

    個人情報の漏えい等、サイバー攻撃の被害が発覚した場合、多くの事業者が悩むのが、外部への報告や情報の公表等についてではないでしょうか。

     

    本ブログでは、個人情報保護法で求められる対応の概要と、3月8日に政府が公表した「サイバー攻撃被害に係る情報の共有・公表ガイダンス」における考え方のポイントをお伝えします。

     


    個人情報保護法で求められる対応

    個人情報保護法においては、漏えい等又はそのおそれのある事案(「漏えい等事案」)が発覚した場合はその内容等に応じ、以下の 1から 5に掲げる事項について必要な措置を講じなければならないとされています。

     

     1.事業者内部における報告及び被害の拡大防止

     2.事実関係の調査及び原因の究明

     3.影響範囲の特定

     4.再発防止策の検討及び実施

     5.個人情報保護委員会への報告及び本人への通知

     

    5.個人情報保護委員会への報告及び本人への通知 については

    以下の 4つの事態(報告対象事態)に該当する場合は義務とされます。

     

     1.要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態

     2.不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

     3.不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

     4.個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

     

    委員会報告と本人通知のタイミングや方法についてはガイドラインで規程されているため、

    これらの事態に該当する場合はガイドラインに準じて対応する必要があります。

     

    被害の公表については、努力義務とはなっていますが、義務とはされておりません。

     

     ■参考:当機構ブログ「法改正にともなう、個人情報の漏えい等事案への対応の注意点」

     


    サイバー攻撃被害に係る情報の共有・公表ガイダンスのポイント

    3月8日に、政府は主にサイバー攻撃を受けた被害組織を想定読者とした「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表しました。ガイダンスの大部分はFAQとなっておりますが、本ブログではガイダンスでの基本的な考え方をお伝えします。

     


    ガイダンスの検討の背景にある問題意識

    サイバー攻撃の手法はますます高度化しており、組織単独による攻撃の全容解明はより困難になっています。

     

    一方、被害組織はお互いに「他にどのような情報が存在するかを知ることができない」ため、情報共有がなかなか行われにくく、また、共有タイミングも遅いケースが多いという現状があります。

     

    またサイバー攻撃被害が複雑化する中で、被害組織のインシデント対応が適切になされているかどうかが外部から確認できず、被害組織も情報の開示に消極的なため、被害組織のインシデント対応に不安や警戒を募らせるような状況になっています。

     

    こうした情報の非対称性を解消する手段である「情報の共有」「被害の公表」のポイントを示した参考資料がないということが、ガイダンス検討の背景にある問題意識となっています。

     


    「情報共有」と「公表」の関係性の整理

    ガイダンスでは「情報共有」と「公表」との関係性を整理し、特に被害の拡大防止/予防のための「情報共有」について取り扱っています。

    「情報共有」

    JPCERT/CC,IPA,JC3,NICT等の専門組織やセキュリティベンダー等と、非公開で攻撃技術情報を共有することが情報共有になります。①インシデント対応に必要な情報を得るため、②被害の未然防止のための情報を得るため等の目的があります。

    「公表」

    広く社会一般に公開情報として、被害内容、対応情報等を共有することが公表となります。

    二次被害防止のための注意喚起、被害が知られている場合の対外的説明等の目的があります。

     

    「情報共有」と「公表」の簡易比較表(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」p4,9,10,70よりJPAC作成)

     

    情報共有の模式図(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」p6 図1)

     

    公表の模式図(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」p7 図2)

     


    「情報共有」は速やかな実施が重要

    攻撃に関する情報の共有は早ければ早いほど効果的であり、時間がたてばフィードバックや予防効果が得られなくなります。

     

    すべての情報発信を公表のタイミングまで待ってしまうと効果的なタイミングを逃してしまいますが、「攻撃技術情報」と「被害内容・対応情報」を分離し、「情報共有」と「公表」を切り分けて、速やかな情報共有を実施することが重要になります。

     

    「情報共有」と「公表」の切り分けの模式図(サイバー攻撃被害に係る情報の共有・公表ガイダンス」p19 図10)

     

    「攻撃技術情報」と「被害内容・対応情報」の切り分けの模式図(「サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要」p10)

     


    「公表」の際に留意するべきポイント

    「公表」の目的

    公表を行う目的としては、前述の個人情報保護法の他、法令やガイドラインで求められる義務等に対応するための他、被害が広く知られている場合の対外説明、広報/リーガルリスク対応、注意喚起等が考えられます。目的を整理し、タイミングや必要な情報を決めることが重要になります。

     

    「公表」の目的(「サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要」p11)

     

    「公表」のタイミング

    サイバー攻撃被害の全容解明には時間を要しますが、二次被害や発生する恐れや社会的な影響が判明した時点で、適宜一報的な公表を実施することが望ましいと言えます。また、ステークホルダーに対しても正確な情報を伝えることができます。

     

    「公表」のタイミング例(「サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要」p12)

     

    「公表」の内容

    公表までに時間を要する場合は、「公表までに対応した内容」を示すことで、インシデント対応に対する不安や警戒の解消につなげることができます。

     

    「公表」の内容例(「サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要」p13)

     


    「情報共有」「公表」の判断のためのフロー(簡易版)

    最後に、「情報共有」「公表」の判断のためのフロー(簡易版)を以下に引用します。ガイダンスにはより詳しいフローシートやチェックシートも用意されています。

     

    本ブログでは極力ポイントをしぼってお伝えしましたが、ガイダンスにはより詳細な情報を記載したFAQが用意されており、また警察や所轄官庁との連携や機微な情報への配慮についても説明がなされています。

     

    サイバー攻撃の被害を100%防ぐことは不可能です。特に組織のシステム運用部門や法務・リスク管理・規格・渉外・広報部門の方におかれましては、ご確認を強くおすすめします。

     

    フローシート(簡易版)(「サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要」p17)

     

  • Information
    JPAC

    一般社団法人日本プライバシー認証機構(JPAC)

    個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。

    Search