個人情報保護法改正対応をきっかけに見直しが必要、あなたの組織が「攻撃されるところ」：サーバ内の機密データを守るには

2022年4月1日に施行予定の「令和2年改正個人情報保護法」では、最大1億円の罰金に注目が集まるものの、ひかり総合法律事務所 弁護士の板倉陽一郎氏によれば、企業が注目すべき点は罰金の額ではない。現状の把握自体が難しく、対策が不十分だと何が起きるのか企業が理解していない点に、課題があるという。

[PR／＠IT]

PR

　2022年4月1日、「令和2年改正個人情報保護法」が施行される。官民を通じた個人情報保護制度の見直しが行われる予定で、多くの組織が気になっているのではないだろうか。

　初めての3年ごと見直しとなる個人情報保護法の令和2年改正について、企業が特に気にしている点は事故が発生した場合の報告義務だ。さらに法に違反した場合に科せられる罰金額が1億円以下へと大幅に引き上げられる点ではないだろうか。

　本稿では、個人情報保護法に詳しく、「プライバシーフリークの会」のメンバーの一人として活躍するひかり総合法律事務所 弁護士の板倉陽一郎氏に、本件について企業が注目すべきポイントを聞きつつ、ITやシステムで組織をどう守るべきかを考えてみよう。

「罰金額が1億円」はポイントではない――その理由とは

ひかり総合法律事務所 弁護士の板倉陽一郎氏

　改正個人情報保護法に関して、注目すべきはやはりその罰金額の大幅な増額だと思いがちだ。だが、板倉氏は「それは大したことではない」と述べる。個人情報保護法の罰金が科せられるのは命令違反がメインだが、実はこれまで個人情報保護法で措置命令が出された例は1回しかなく、命令違反の罰金となると一度もない。現実には制裁としての罰金は頻発しないとみられるからだ。

　「恐らく、EUのGDPR（EU一般データ保護規則）における制裁金や、米国における同意審決違反の高額な制裁金とバランスを取るために、インパクトを持った金額が設定されたのだろう」と板倉氏は述べる。そのため、罰金を強調して個人情報保護対策を考えることは、本質を捉えたものではないといえる。

　「むしろ、情報漏えいが起きた際に一定数以上の個人データの漏えいがあった場合等には、個人情報保護委員会への報告と、本人への通知を義務化する部分に注目すべきだ。万が一このような事件が発生した場合、組織としての対処が可能となっているかどうか」（板倉氏）

　その点に悩む組織の声を板倉氏も多く聞いているという。

　「1000件を超える漏えい等、従業員等による情報持ち出し、サイバー攻撃によって漏えいさせたりした場合等に、情報を漏えいされた本人への通知義務が発生する」。本人への通知はそのままSNSに投稿されることもあるので嫌がられるが、「最近は漏えい事件に慣れてしまっているからか、いざ通知しても誰も反応しないこともある」と板倉氏は苦笑する。

　「保有個人データについての公表事項が増える。利用目的の記載も詳細にしなければならないため、今すぐにでも全団体がプライバシーポリシーを見直さなければならない」（板倉氏）

現状の把握自体が難しい、対策が不十分だと何が起きるのか

　板倉氏は「そもそも現状の把握自体が難しいのではないか」と指摘する。「新たに個人関連情報として、Webサイトにおける『Cookie』や、広告などの測定効果を把握するための『ビーコン情報』も規律の対象となることに、多くの組織が気付いていない。Cookieやビーコンはマーケティング部門が設定するもので、これを法務部やセキュリティ部門などが把握していないことがほとんど。Webサイト関連における個人関連情報を洗い出すことは、相当大変だろう」（板倉氏）

　個人関連情報は提供先で個人データとして取得されることが想定される場合には、提供先で同意が得られていることを確認しなければ提供できない。「個人を特定できなくても対象となるデータなので、対応するには各部署に個人関連情報について説明して洗い出さないといけない。この規制に関してはマーケティング部門などこれまで無関係と思われた部署においても、相当意識的に取り組まなければならず、法務部や内部統制関連のチームがどのように各部署と連携するかがポイントになる」（板倉氏）

　顧客の個人データを苦労しつつ管理できていたとしても、自社従業員の個人データへの対応が抜けていたり、甘かったりすることについても板倉氏は危惧する。「HR（Human Resource）テックの取り組みが盛り上がっているが、従業員だけではなく新卒採用や中途採用における応募者データをどう守るかまで目が行き届いていない組織も多い」

　これらから分かるのは、個人情報保護法を意識していたとしても、法令違反につながる危険性があるということだ。

　加えて令和2年改正個人情報保護法の対策には、これまでのようにガバナンスを効かせることに加えて、何らかの事件が発生した際にシステム的にも原因調査、報告、管理ができるよう、柔軟性を持った仕組みが必要になる。個人情報漏えい事件が発生した場合、その影響範囲と漏えい内容を迅速に把握し、それを基に個人情報保護委員会や漏えいされた本人に速やかに通知する必要があるのだ。保有個人データだけではなく、新たに第三者提供記録の開示請求にも対応しなければならない。そこで「年間数件あるかどうかも分からない第三者提供記録の開示請求にどこまで準備するか」「それにどこまでコストをかけることができるのか」という点も課題となる。

　このような個人情報保護の対策ができなかったとき、一体何が起きるのだろうか。

　板倉氏は最大のリスクとして「サプライチェーンから外される」ことを挙げる。「対応できていない企業とは取引をやめようと考える企業も増えてくる。取引先、グループ全体でセキュリティ対策が足りない企業があると、そこから道連れになってしまうからだ。情報漏えい事故を起こしたら消費者に怒られるだけではなく、自社がサプライチェーンから外されることも想定しなければならない時代だ」（板倉氏）

エンドポイントだけを守るのでは不十分

　サプライチェーンから外されないためにできることの一つは、セキュリティの基礎体力の向上だ。これまでの境界防御型セキュリティ対策が、クラウド活用やテレワークの普及で限界になりつつある今、「EDR」（Endpoint Detection and Response）が注目されている。これはエンドポイント、つまり従業員のPCデバイスなどをセンサーとして活用し、脅威の侵入するポイントを見張ることで、攻撃を検知する仕組みだ。

　しかし、それだけでは足りない。クライアントPCだけではなく、サーバにも目を向けるべきだ。侵入を100％防ぐことができるセキュリティ対策はない。EDRは侵入を防ぐのではなく、侵入を迅速に検知、把握するためのものだ。侵入された際にネットワークを経由して他の端末を感染させるようなマルウェアがサーバに到達した場合、そこでも被害が発生してしまう。だからこそ、EDRはクライアントPCだけではなくサーバも対象として考える必要がある。

サイバー攻撃者の狙いは「サーバ」にある（提供：SB C&S）

　「個人情報保護法で守るべきデータのほとんどは、エンドポイントではなくサーバにある。エンドポイントだけを守るのでは不十分だ」と述べるのは、企業のセキュリティ対策の相談に乗ることが多いSB C&S エバンジェリストの大塚正之氏だ。

SB C&Sの大塚正之氏

　「EDRは監視カメラのような機能を提供する。組織を建物に例えるなら、監視カメラが入場ゲートだけではなく、組織が本当に守るべき“絵画”のような重要なモノの前、そして“金庫”のようなデータベースサーバの前になかったら不安になるだろう。まず『可視化』が重要だ」（大塚氏）

　SB C&SはVMwareが提供する「VMware Carbon Black」を企業に提案している。サーバ領域を含むクラウドやエンドポイントにも対象を拡大したEDR製品だ。

VMware Carbon Blackの対象範囲（提供：SB C&S）

　今は当たり前のようにクラウドサービスを活用する時代。クラウドはクラウド向け、オンプレミスはオンプレミス向けの製品をそれぞれバラバラに使わざるを得ない状況があるかもしれない。「これはセキュリティ対策のサイロ化を招くので、後に大きな問題となる可能性が高い。情報漏えい事故の対処には、一元的にあらゆる領域を可視化して、報告することが求められる。狭義のEDRとしてクライアントPCデバイスだけを対象とするのではなく、システム全体を保護し、可視化する仕組みが必要だ」（大塚氏）

　どの業種においてもサプライチェーンが複雑化している今、無意識にさまざまな個人情報、個人関連情報を収集し、そのことがリスクとなり、対応を見誤ればある日突然、サプライチェーンから外されてしまうこともあり得る。

　板倉氏は「日本の企業はSI事業者に任せきりになっていることも多いが、ユーザー企業自身が主体的な意識を持つ必要がある」と話す。個人情報保護法の改正をきっかけに、エンドポイントだけではなくサーバも含めて一元的に可視化、保護できるかどうか、万が一のとき状況を報告できるかどうかをもう一度チェックしてみてはいかがだろうか。