Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

改正個人情報保護法、5月から全面施行!

ECサイトの運営で急成長するベンチャー企業でIT担当者として働くK.Mさんに、ある日突然社長からメールが飛んできた。「改正個人情報保護法が施行されるが、ウチは大丈夫なのか。調査して教えてくれ」という内容である。K.Mさんも気にはなっていたが、日々の業務に忙殺されてなかなか身動きが取れなかったのだ。しかし社長の命令ということもあり、さっそく個人情報保護法がどのように変わったのかを調査することにしたのだが...?

ここに注目

2005年から全面施行された「個人情報の保護に関する法律」、いわゆる個人情報保護法を全面的に見直した、「改正個人情報保護法」が2017年5月30日から施行されています。改正のポイントとしては、取り扱う個人情報が5,000件を超えない事業者に対する例外が撤廃されたこと、個人情報の定義が見直されたこと、そして刑事罰が設けられたことなどが挙げられます。個人情報を保有しているのであれば、これを機に改めて取り扱い方法について見直さなければなりません。

刑事罰が新たに盛り込まれた改正個人情報保護法

改正のポイントで見逃せないのは、取り扱う個人情報の件数が5,000件を超えない事業者であっても、「個人情報取扱事業者」に該当することになった点です。従来の個人情報保護法では、個人情報の取り扱い件数が5,000件を超えなければ個人情報取扱事業者に該当しないという例外があったため、これに当てはまれば安全管理措置などの義務を負う必要はありませんでした。しかし、この例外が改正個人情報保護法では撤廃されたため、これまで個人情報取扱事業者に当てはまらなかった企業でも、法律に則った形で個人情報を取り扱わなければなりません。

個人情報の定義も見直されています。従来は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定義されていました。改正個人情報保護法では、以前の内容に加え、DNAや虹彩など身体の一部の特長をデータ化した内容、あるいはサービスの利用者や個人に発行される書類などに割り当てられた文字や番号、符号などを「個人識別符号」と定義し、これが含まれるものを個人情報としています。

不正な利益を図ることを目的とした個人情報の提供や盗用に対し、1年以下の懲役または50万円以下の罰金を処するとした、データベース提供罪が新設されたことも見逃せません。もし内部不正などによって保有している個人情報が外部に持ち出されたなどといった事件が発生し、この処罰を受けることになれば大きなダメージを被ることになるでしょう。

安全管理措置を実施する上でのポイント

個人情報を取り扱う事業者に対し、安全管理措置の実施を求めているのは従来の個人情報保護法から変わりません。安全管理措置の具体的な内容は以下のようなものが挙げられます。

組織的安全管理措置 組織体制や規定の整備、事故や違反への対処など
物理的安全管理措置 入退室管理の実施や盗難の防止、機器や装置の物理的な保護など
人的安全管理措置 従業員との非開示契約の締結や個人情報保護に関する内部規定の周知徹底、教育など
技術的安全管理措置 アクセス制御や各種操作の記録、不正ソフトウェア対策、情報システムの監視など

個人情報の多くがITシステムに蓄積されていること、さらに標的型攻撃などによる個人情報漏えい事件が後を絶たないことを考えると、技術的安全管理措置は極めて重要でしょう。具体的な対策としては、ウイルス対策ソフトやファイアウォールをはじめとするセキュリティ機器の利用が考えられますが、単に導入しただけでは高度なサイバー攻撃から個人情報を守ることはできません。

たとえば標的型攻撃では、まず取引先や顧客を装ってマルウェアを添付したメールを送信します。このマルウェアに感染したパソコンを踏み台として使い、サーバーなどに不正にアクセスして個人情報を窃取するといった流れで攻撃が行われます。この際、メールに添付されたマルウェアをウイルス対策ソフトで検知できれば攻撃を防げますが、昨今ではウイルス対策ソフトで検知できないマルウェアが使われることが多く、それだけではサイバー攻撃を防げないケースが増加しているのです。

「マネージドセキュリティサービス」で漏えいリスクを低減

そこで重要となるのが、ファイアウォールやIDS/IPS、あるいはプロキシから出力されるログです。このログを精査し、サイバー攻撃によって生じる不正な通信を検知することができれば、個人情報の窃取を防げる可能性が高まります。ただ、出力されるログの数は膨大なため、自社でそれをすべてチェックするのは現実的ではないでしょう。そこで注目を集めているのが、SIEMと呼ばれるソリューションを活用したマネージドセキュリティサービスです。

SIEMはSecurity Information and Event Managementの略で、さまざまな機器から出力されるログの相関分析を行い、不審な通信を見つけ出す仕組みです。昨今では、SIEMを利用してユーザー企業の通信ログを分析し、攻撃の兆候があれば通知するといったサービスがあり、自社の負担を抑えてログの分析を行い、サイバー攻撃による個人情報漏えいのリスクを低減することが可能になっています。

また、セキュリティ対策を見直す際には、自社のIT環境におけるぜい弱なポイントを専門家の目でチェックしてもらうことも有効です。昨今ではセキュリティリスクを第三者が評価する「リスクアセスメントサービス」があり、これを利用することで自社のセキュリティ対策の状況を適切に把握することができます。

仮に個人情報が漏えいしたとなれば、企業の信用が傷付くだけでなく、慰謝料などとして多額の損失も生じます。ある調査によれば、情報漏えいの1件あたりのコストは20,000円前後とされており、仮に10,000件の個人情報が漏えいすれば2億円ものコストが生じることになります。改正個人情報保護法の施行をきっかけとして、改めて自社のセキュリティ対策を考え直してみてはいかがでしょうか。

  1. NTT Com、NTT Com Security社の持つノウハウとNTTセキュアプラットフォーム研究所の先端技術を融合し開発
  2. 独自開発のSIEMエンジンを含む新たなセキュリティ運用基盤により、セキュリティに関するイベント及びログの自動分析/判定/報告を行いエンジニアの処理より高速・低コストを実現
  3. あわせて、高度リスク分析官による高度な分析と深刻度判定により新たな脅威の発見と対処を実現

ソリューションサービス

WideAngle
人工知能搭載のSIEMエンジンとセキュリティオペレーションセンター(SOC)のリスクアナリストが24時間365日体制で高度なセキュリティ監視を行います。またリスクアセスメントを始めとするプロフェッショナルサービスも提供しています。
OCNセキュリティゲートウェイ
ウイルス対策やファイアウォール、IDS/IPSなどの機能を搭載したUTM(統合脅威管理)機器をレンタルで利用するほか、導入工事(機器設定)や保守・セキュリティサポートまでセットになったサービスが「OCNセキュリティゲートウェイ」です。コスト負担を抑えてセキュリティ対策をアップグレードできます。
セキュアインターネット接続機能(vUTM)
VPNサービスである「Arcstar Universal One」のオプションサービスとして、最大1Gbpsのインターネット接続とクラウド型UTMをセットで提供するサービスが「セキュアインターネット接続機能」です。自前でUTMの構築や運用を行う必要がなく、管理の手間とコストの削減も可能になります。

この記事が注目されています

カテゴリーピックアップ

このページのトップへ