エンジニアが語る、改正個人情報保護法と情報漏えいの実態

１．改正個人情報保護法が全面施行

2022年4月1日に『改正個人情報保護法』が改正され、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることになります。今回の改正ポイントは以下5点になり、前回の改正法（2017年5月）で個人情報保護を対策した場合でも、保有個人データの定義拡大や漏えい時の報告義務などの見直しが必要になります。

• ポイント①：保有個人データの定義拡大

  取得後6ヵ月以内に消去する短期保存データも開示請求や利用停止請求等の対象となる「保有個人データ」の定義に含められる（開示請求・利用停止請求等の対象）。

• ポイント②：漏えい等の報告・本人通知の義務化

  個人データの漏えい等の事案が発生した場合、個人情報保護委員会への報告と本人への通知が義務化される。

• ポイント③：仮名加工情報の新設

  仮名加工情報とは、個人情報の一部（氏名等）を削除・置換するなどして、他の情報と照合しない限り、特定の個人を識別できないように加工した情報のことで、内部分析に限定する等を条件に、データの利活用を促進する観点から新設される。

• ポイント④：法の域外適用の強化

  日本国内にある者の個人情報等を取り扱う"外国事業者"について、罰則によって担保された報告徴収・命令および立入検査などの対象になる。

• ポイント⑤：法定刑の引き上げ(2020年12月12日に施行済み)

  個人情報保護委員会による命令違反や委員会に対する虚偽報告等の法定刑を引き上げる。
  法人に対しては、行為者よりも罰金刑の最高額を引き上げる（上限1億円）。

個人情報を取り扱う企業においては、改正内容を確認するとともに、自社で保有する個人情報の管理や運用、漏えい対策などを見直す必要がありそうです。

情報漏えい対策製品はコチラ

２．個人情報漏えいの現状

今回の改正個人情報保護法では、"個人情報"と定義する対象を拡大したり、通知義務や法定刑の引き上げなど、かなり厳しい内容になっています。この背景と考えられる個人情報漏えいの現状を整理してみたいと思います。

インターネットの利用拡大を背景に「個人情報の保護に関する法律」が2003年に制定、2005年に全面施行され、その後、改正を繰り返してきましたが、個人情報の漏えい事故は未だ減少する気配を見せません。

一般財団法人 日本情報経済社会推進協会（JIPDEC）が発行する「2020年度 個人情報の取扱いにおける事故報告集計結果」では、事故報告件数は右肩上がりで増加していると報告されています。
情報漏えいの発生原因を見てみると、"誤送付"が約63%と大半を占めていますが、原因は多岐に及んでいることがわかります。

※1,2出典：一般財団法人 日本情報経済社会推進協会（JIPDEC）
「2020年度 個人情報の取扱いにおける事故報告集計結果」
https://privacymark.jp/system/reference/pdf/2020JikoHoukoku_211005.pdf

原因として一番多い"誤送付"の内訳を見てみると、メールの誤送信が約30%を占めていることがわかり、2020年度は急激に増加しています。これは、新型コロナウィルス対策のためのテレワークにより、通信手段や作業環境が変化したことに伴い増加していると推測されています。

※3,4出典：一般財団法人 日本情報経済社会推進協会（JIPDEC）
「2020年度 個人情報の取扱いにおける事故報告集計結果」
https://privacymark.jp/system/reference/pdf/2020JikoHoukoku_211005.pdf

また、"誤送付"以外の原因を見てみると、"事務処理・作業ミス"が半数を占めており、過去からの推移を見ても常に原因の大部分を占めていることがわかります。

※5,6出典：一般財団法人 日本情報経済社会推進協会（JIPDEC）
「2020年度 個人情報の取扱いにおける事故報告集計結果」
https://privacymark.jp/system/reference/pdf/2020JikoHoukoku_211005.pdf

"個人情報漏えい"と聞くと、ランサムウェアやウィルスなどのサイバー攻撃や社員による悪用を目的とした持ち出しが原因として多い印象を持ちますが、実態としては誤送付や誤操作、作業ミスが大部分を占めています。原因が多岐にわたることから、『情報漏えいを完全に対策する、防止する』ことはかなり難しいことがわかります。

情報セキュリティ対策製品はコチラ

3. 情報漏えいの対策には"事後対策"も必要？

ランサムウェアなどのサイバー攻撃対策の導入や全社ルールの策定、社員・取引先関係者への教育等に取り組んでいる企業も多いと思いますが、前述の通り、依然、情報漏えいは減少していないのが現実です。情報漏えいの原因が多岐にわたることで対策も多岐にわたることから、情報漏えいを防ぐことは難しいのが実態ではないかと考えます。
「情報漏えいを発生させない」ための"事前対策"は重要ですが、現実的には網羅した対策が難しいことを考えると、『情報漏えいした場合でもデータ自体は使えない』といった"事後対策 "も重要ではないかと考えます。
"事後対策"がしっかりしていれば、万が一、漏えいが発生した場合でも個人情報が悪用される可能性を最小限に留めることができると考えます。

4．個人情報を"探して"、"守る"　Secure Protection

このような状況を踏まえ、当社では、情報漏えいの"事後対策"として有効な製品『Secure Protection』を開発、販売しています。2015年の販売開始以降、多くの企業で導入いただき、現在は約33,000端末、5,000万件（当社推定）の個人情報を守っています。

Secure Protectionの導入事例はコチラ

個人情報漏えいの対策として多くの企業で導入いただいているSecure Protectionについて、少しご紹介させて頂きます。Secure Protectionは、『個人情報を"探して"、"守る"』ことができるパッケージで、主に以下の機能を提供しています。

• ① 検索

  高性能検索エンジンと独自アルゴリズムにより、あらかじめ設定した"検索条件"でパソコンやサーバー内の個人情報を含むファイルを高速・高精度で検索します。

  個人情報は暗号化されたサーバー等に集約管理している企業も多いと思いますが、サーバーからダウンロードして個人使用のパソコンに保管している、参照しただけのつもりが知らない内にダウンロードされていたと言うこともあります。このことに加え、コロナ禍によるテレワークで作業環境が変わったことから、個人情報は"集中管理されているはず"が点在してしまっていることも多く、定期的に個人情報を検索することは情報管理、漏えい対策の観点では重要と言えます。

  

  「検索条件」の例

  • 個人情報 - 標準サポート

    「名字」「住所」「電話番号」「口座番号」「マイナンバー」「メールアドレス」「クレジットカード番号」「生年月日」を含むファイル
    各項目は AND/OR で組み合わせて利用できます。

  • キーワード検索 - カスタマイズ可能

    「重要」「極秘」「文書番号」などを含むファイル

• ② 暗号化

  検索で見つけた個人情報を含む電子ファイルを"自動"で暗号化します。

  万が一、個人情報を含む電子ファイルが漏えいしてもファイルを開くことができないため、個人情報自体の漏えいを防止することができます。

  

  復号のためのパスワードは不要

  「勝手に暗号化すると、ファイルを開く時に不便」、「いちいちパスワードを入力するなどの復号手続きをするのは面倒」と言うことはありません。
  自動的に暗号化されたファイルは、ファイルが保存されていた端末（パソコン）や同一組織内の端末（パソコン）であれば、Secure Protectionが安全性を確認して、復号手続き（パスワード入力）を行うことなく、通常と同じ操作でファイルを開くことができます。

• ③ 管理

  検索や暗号の結果をSecure Protectionのサーバーで一括管理します。

  "どの端末（パソコン）"の"どこ（フォルダ）"に"どういう個人情報が存在する"といった情報や個人情報が含まれるファイルのアクセス履歴を一括で管理することができます。

  

• ④ 削除

  取引先と個人情報を共有する場合や万が一、個人情報を含むファイルが流出してしまった場合を想定して、個人情報を含むファイルに"制限"を設けて、"制限"を超えた場合にはファイルを開かせない、またはファイル自体を削除することができます。

  

繰り返される法改正で年々、厳しくなる個人情報の管理ですが、個人情報漏えいの実態を踏まえると、法整備や罰則強化、ルールの構築と徹底だけでは、個人情報の漏えいは減少しないのではないかと考えます。
『漏えいさせない』事前対策に加え、『漏えいしてもデータとして使えない』事後対策も検討してはいかがでしょうか。

当社ホームページでは、Secure Protectionの機能や各種オプション、導入企業様の事例を公開していますので、是非、お読みいただければ幸いです。

情報漏えい対策製品はコチラ