見出し画像
Photo by fu_rai13

【IBM Security】改正個人情報保護法へのIT対応はお済みですか?今からでも間に合うセキュリティー対策のご紹介

牧野賢二

昨今、国会でも問題になっている個人情報の取扱いに関して、本日は改正個人情報保護法の改定ポイントの要約とその課題に対する解決策について説明したいと思います。
令和2年3月10日に第201回通常国会に提出されました「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年6月5日の国会において可決、成立し、令和2年6月12日に公布されました。

今回の改正で特に重要なポイントを以下にまとめますと、
◼️漏えい等報告・ 本人通知
漏えい等が発生し、個人の権利利益 を害するおそれがある場合に、委員会 への報告及び本人通知を義務化する。
◼️個人関連情報
提供先において個人データとなることが 想定される情報の第三者提供について、本人同意が得られていること等の 確認を義務付ける。
◼️越境移転
• 本人同意に基づく越境移転: 同意の取得時に、本人への情報提供を求める
• 体制整備要件に基づく越境移転: 移転先による個人データの適正な取扱いの継続的な確保のための必要な措置及び本人の求めに応じた情報提供を求める。

個人情報保護の改定に関しましては、個人銃砲保護委員会のホームページに詳しく記載されていますので、ご興味ある方は同ホームページにてご確認下さい。

漏えい時の報告は速報及び確報の2回に分かれ、確報は30日(不正アクセス等の故意による場合は60日)以内に確報を求められます。当社でデータベースのログを保管しているので、情報が漏えいした場合も当人、情報保護委員会への報告は問題ありません、という企業担当者の方がいらっしゃいます。本当に大丈夫でしょうか。
答えはNOです。昨今のサイバー攻撃において、情報を搾取した後にランサムウェアを仕掛けて侵入の形跡やログ情報ごと破壊するという手口が流行しています。最終的に盗まれた個人情報を解析するにはデータベースのログ情報を解析する必要がありますが、その大事なログ情報が破壊される危険性があります。又、サイバー攻撃を仕掛けた犯罪者集団は、ITのプロフェショナル集団でもあります。データベースのログ自体を改ざんする事は非常に容易な事です。

越境移転については、情報取得時に当人に、移転先の所在国名、当該国の個人情報保護制度、 移転先が講ずる措置について情報提供される必要があります。「必要な措置」とは、移転先における個人データの取扱状況 及びそれに影響を及ぼしうる移転先の所在国の制度の有無の定期的な確認とあります。正しく取り扱われているかを解析するにはデータベースのアクセスログは必須であり、又、移転先の法制度に基づいた対応を必要です。当然ながら万が一情報が漏えいした場合は、その国の法律に基づいた対応が必要になります。日本おいては個人情報保護法の則った対応が必要ですが、準備が出来ていますか?

今回の改定ポイントのもう一つの目玉は、法定刑の引き上げとなります。個人情報保護委員会からの命令への違反、個人情報保護委員会への虚偽報告等があった場合、最高1億円まで罰金刑が引き上げられました。従来は50万以下の罰金だったので、GDPRほどではないですが、企業への情報漏えい時のコスト負担増になる可能性があります。改正個人保護法はr令和4年4月1日から全面施行の予定ですが、法定刑の引上げは令和2年12月12日からすでに施行されています。
日本における情報漏えい時にかかる平均コストは年々増加していおり、平均4億1100万、前年比+10.7%となります。(出典:Ponemon Insutitute『情報漏えい時に発生するコストに関する調査 2019』)直接的なコストも増加しますが、企業の信用、ブランドへのダメージは上記金額よりさらに大きいのではないでしょうか、

この改正個人情報保護法に対応し、企業のリスクを低減するには、
◼️個人情報のデータベースを24時間365日監視し不正なアクセスを検知、ブロック
◼️データベースのアクセスログを破壊・改ざんされない仕組み
◼️各国の法規制を理解し、インシデントが発生した場合、各国の法律に基づいた素早い対応
が必要となります。GDPR時に当社はGDPR対応を済んでいますとのお声をよく聞きましたが、よくよく聞いてみると、それは法律を理解しマニュアルで対応の定義をしているだけで、IT対応まで出来ている企業はまだまだ少ないの現状でした。
IBMでは上記の解決策をIBM Security Guardium. IBM Security SOARという2つの製品で実現が可能です。Guardiumは優れたそのデータベースの監視機能、ログ保管機能により、日本においても金融業界や公的機関、あるいは個人情報をお持ちの企業に多く採用されている実績のあるセキュリティー製品です。IBM製品は機能は良いが価格は高いとの声もよくお聞きしますが、決してそんな事はありません。Guardium のライセンス費用は1つのデータベースの場合、約定価で250万ほどです。(導入費用やはハードウェア費用は含みません)この金額で、個人情報がある重要なデータベースを守れるならコスト的には安いと自負しております。

最後までお読み頂き有難うございました。令和4年4月施行までにはまだ1年あります。この機会に改正個人情報保護法への対応を検討してみてはいかがでしょうか、
IBM Security Guardium. IBM Security SOARにご興味頂けた方は製品紹介の動画をを以下のURLからご視聴出来ますので、是非ご覧ください。
⇩⇩IBM Security Guardium紹介動画
https://app.goconsensus.com/play/2df92aaf
⇩⇩IBM Security SOAR紹介動   https://app.goconsensus.com/play/752c96f4?autoplay

又、上記2製品による個人情報保護ソリューションの概要資料を作成しました。下記のリンクからご覧頂けますので、是非こちらも合わせてご覧ください。

本記事に関するお問い合わせは以下のメールまでお願い致します。makinok@jp.ibm.com

この記事が気に入ったらサポートをしてみませんか?