2023年5月30日
現在、個人情報保護に関する問題が経営の上で無視できないリスクになりつつあります。
その背景には、日々報道されているようにサイバー攻撃の増加・高度化があります。グローバルと歩調を合わせた法規制の強化や、技術の進歩によるプライバシー問題の広がりも非常に重要です。
今回の当機構ブログでは、それらの背景の概況についてご説明します。また、当機構無料WEBセミナーにて詳しい内容をご説明しておりますので合わせてご利用ください。
個人情報の取り扱いに関する規定を定めた個人情報保護法は、三年ごとに見直しがされることになっています。
個人情報の保護に関する法令は国や地域ごとに存在しますが、日本の法令はEUのGDPR(General Data Protection Regulation:一般データ保護規則)等と比べると規制が厳しくはありません。
国境を超えた個人情報の移転をスムーズにするためには、各国・各地域の法規制の足並みを揃えることが重要になります。日本の個人情報保護法は改正のたびに規制が強化されており、今後も同様の傾向が続くと考えられます。
2020年に成立した改正でも、以下資料のように規制が強化されています。(個人情報保護法についてはベンチャー/中小企業様向けに当機構無料WEBセミナー等でご説明しております)
(画像出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律」の概要等について)
個人情報保護法以外にも対応するべき法令としてマイナンバー法等がありますが、直近では、2023年6月16日に改正電気通信事業法が施行され、外部送信規律が導入されることに注意が必要です。
これにより、多くのWEBサイト・アプリケーションにおいて、サードパーティクッキーの利用等に規制がかかることになります。(本規律についてはこちらの無料WEBセミナーでご説明しております)
(画像出典:総務省パンフレット「外部送信規律について ウェブサイトやアプリケーションを運営している皆様、御確認ください!」)
改正個人情報保護法で導入された個人関連情報の第三者提供の制限でもクッキーの利用に一部規制がかかることになりましたが、それに続き、実務的に注意すべき規制が導入されることになります。
しかしこれらの法改正の結果をふまえても、EU等と比べると日本の法規制はまだ厳しくありません。今後もグローバルと足並みを合わせるために規制の強化が続くと思われます。
組織が保有する情報が漏えいなどしないように安全に管理することは、個人情報保護の観点のみならず、情報セキュリティの点で非常に重要です。近年頻発するサイバー攻撃に関する報道を見聞きし、危機感を覚えている方も多いのではないでしょうか。
日々の報道にあらわれているように、サイバー攻撃の被害は増加傾向にあると言えます。例えば東京商工リサーチが毎年実施している調査では、上場企業と子会社の情報漏えい・紛失事故は2年連続で最多を更新しています。
画像出典:東京商工リサーチ 2022年「上場企業の個人情報漏えい・紛失事故」調査(2023/01/19)
また、令和4年度の総務省の情報通信白書で公表されたNICTERにおけるサイバー攻撃関連の通信数は、3年前との比較で2.4倍に増加しています。被害の裏側にある攻撃もやはり増加傾向にあることが分かります。
(画像出典:総務省 情報通信白書令和4年版 第3章第7節)
なお、中小・中堅企業の中には、サイバー攻撃で狙われるのは大企業だというイメージを持たれている方もいらっしゃるかもしれません。しかし中小・中堅企業も狙われていることに注意が必要です。
サプライチェーンを構成する中小・中堅企業等を攻撃し、大企業への侵入の足がかりとするサプライチェーン攻撃が大きな脅威になっています。現在特に注意すべきランサムウェア攻撃においても、中小・中堅企業へ攻撃が増加しているという傾向が見られます。(参考:当機構ブログ)
サイバー攻撃の被害を受けると個人情報を含む社内のデータベースの情報が大量に漏えいしてしまい、企業経営に甚大な影響を受ける可能性があります。発生しうる損失としては以下のような項目が考えられます。仮にベンチャー企業や中小企業が大量の情報を漏えいした場合、事業の継続が困難に陥ることも考えられます。
サイバーセキュリティ上のリスクは、保有している情報の量や質、組織体制や従業員の勤務形態、採用しているシステム等によって組織ごとに大きく異なります。また、対策にかけられるコストも様々です。
どのようなセキュリティ対策をどの程度実施するのかは、リスクとコストを総合的に考慮して、各組織ごとに責任をもって判断する必要があります。
他方で、個人情報保護法におけるセキュリティ対策の規定(安全管理措置)は基本的な措置の提示となっており、事細かな具体的な手法までは示されていません。
セキュリティ対策に関しては、法令のみにとどまらずより広い知見が求められます。以下のような関係省庁等のガイドライン類を参照することを強く推奨いたします。また、情報システムにおいては、採用しているシステムやクラウドサービスごとの個別具体的な手法を確認する必要等もあります。
・サイバーセキュリティ経営ガイドライン(経済産業省、独立行政法人情報処理推進機構(IPA))
・中小企業の情報セキュリティ対策ガイドライン(IPA)
・組織における内部不正防止ガイドライン(IPA)
・安全なウェブサイトの作り方(IPA)
・テレワークセキュリティガイドライン(総務省)
・インターネットの安全・安心ハンドブック(内閣サイバーセキュリティセンター(NISC))
技術の進歩により、これまでにはなかったような新しい個人情報の利用方法が可能になっています。
そのような取扱いの中には、明確に違法ではなくとも消費者の不安や不利益を招くような例もあり、いわゆる炎上となった事態も発生しています。
例えば、2019年6月、ヤフーが個人に対する説明が不十分なまま独自の信用スコアを外部企業に提供しようとして批判を浴びました。同年8月には、リクナビが学生の内定辞退率予測を企業に販売していたことが大きな問題になり、個人情報保護委員会や厚生労省が行政指導を行っています。
社会から大きな批判を浴びてしまうと企業経営に甚大な影響が発生することになります。プライバシー保護という観点からは、法律さえ守れば良いという考えではリスクが残ると言えます。
経済産業省・総務省では、このような状況の到来を背景に、2020年に「DX時代における企業のプライバシーガバナンスガイドブック」を策定しています。
企業がプライバシー問題に能動的に対応し社会からの信頼を獲得することが必要という背景のもと、まず取り組むべきことを取りまとめています。一例としてはステークホルダーとのコミュニケーション、組織内の体制の構築、プライバシー影響評価(PIA)等があげられます。
また、高い頻度で改定がされており、2023年5月現在のバージョンはVer1.3となっています。
(画像出典:経済産業省、総務省「DX時代における企業のプライバシーガバナンスガイドブックver1.3」概要)
個人情報の利用方法に関しては、法令においても規制が導入されています。
先述した2020年の個人情報保護法の改正で「不適正利用の禁止」が導入されており、「違法または不当な行為を助長し、または誘発するおそれがある方法」での利用が禁止されることになりました。
法令においてもいわゆるグレーゾーンに対して規制がかかりつつありますが、リスクを低減し、社会からの信頼を獲得するためには、経済産業省・総務省からの発信も視野にいれておくべきと言えます。
以上、個人情報保護に関する問題が経営リスクとなっている3つの背景について概況をご説明いたしました。
より詳しくは当機構無料WEBセミナーにてご説明いたします。お気軽にご視聴ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。