小規模事業者も個人情報保護対策が必要に

個人情報の不正利用や漏えいを防ぐために、企業等による個人情報の適切な取り扱いを定めた個人情報保護法が改正され、2017年5月に施行されました。

情報通信技術の発展に対応し、ビッグデータ活用の環境整備をするために、個人情報保護委員会の新設、個人情報の定義の明確化、匿名加工情報の利活用の規定、名簿業者対策等が新たに定められました。

この改正で特に留意しなくてはならないのが、これまで個人情報保護法の適用対象外だった小規模な事業者も適用対象になったことです。これにより、ほぼ全ての事業者において、社内からの情報漏えいはもちろん、社外からのサイバー攻撃による情報漏えい対策が喫緊の課題となっています。この改正により特に着目したい点は以下の３点です。

小規模事業者への適用

以前は5,000人以下の個人情報を扱う事業者は、個人情報保護法の適用対象外となっていました。しかし2017年の改正により、個人情報を扱う全ての企業に個人情報保護法が適用されることになりました。

追跡可能性の確保

名簿業者等から個人情報の提供を受けた際は、取り扱う個人データを管理･把握･追跡できるようにしておくことが義務付けられました。

漏えい時の報告

個人情報の漏えいなどが発覚した場合は、その事実関係や再発防止策などを速やかに、個人情報保護委員会等に報告するよう努めることが課せられました。

増加するサイバー攻撃とそのリスク

サイバー攻撃は年々増え続けています。情報通信研究機構（National Institute of Information and Communications Technology/NICT）の調査によれば、2013年～2016年の間にサイバー攻撃数は約10倍となり、2015年～2016年の1年間だけでも攻撃回数は倍増しています。

特に昨今では、悪質な身代金型ウイルス「ランサムウェア」が猛威を振るい、多くの人が気軽に使うようになった「フリーWi-Fi」の脆弱性をついた攻撃によって被害を受けることも増えています。さらにクラウドの活用、テレワークや在宅勤務の普及なども、サイバー攻撃によるリスクを高めることに繋がっています。

サイバー攻撃は、必ずしも大企業ばかりを標的にしているわけではありません。大企業とその取引先である中小企業のネットワークは受発注システムなどで繋がっている状況下、悪意の行為者はセキュリティが甘い中小企業のシステムから侵入し、大企業のメールサーバーにウイルスを飛ばしたり、サーバーをダウンさせたり、工場の生産機械を制御することも可能なのです。

今やあらゆる企業がサイバー攻撃によって、自社だけでなく、取引先企業などに大きなダメージを与えかねないことを認識しなくてはなりません。場合によっては、取引先企業に数千万から数億円規模の損害を与え、事業の継続そのものを危うくする大きなリスクが潜んでいるのです。

情報漏えい、サイバー攻撃への対策とは？

規模の大小に関わらず、あらゆる企業において情報漏えいやサイバー攻撃のリスクがあることをきちんと認識する必要があります。その上で責任者を指名し、個人情報や情報通信機器の取り扱いに関するルールを定めるなど、社内の体制を整備することが肝要です。

セキュリティ関連のIT製品・ソリューションなどの活用や、フリーWi-Fiの業務利用禁止、社員のプライベートPCの業務利用禁止、等のルールの明確化、社員のセキュリティに関する教育・啓蒙などが挙げられます。

また、最近では様々なサイバーリスクに備えるサイバー保険も用意されています。社内のルール・体制を強化した上で、このような保険を活用することも有効です。ただし、サイバー保険といっても色々な種類があり、補償内容も異なります。自社のニーズに合った保険を選択できるかが焦点になってきます。この分野での豊富な知見を持つマーシュジャパンへまずはご相談ください。