知って得するセキュリティのはなし その160
改正個人情報保護法、4月より施行…漏えい被害者本人への通知義務も
1.このニュースをザックリ言うと
- 4月1日(日本時間)、改正個人情報保護法(2020年公布)が施行されました。
- 2003年施行の同法の改正は2015年以来となり、事業者に対し追加された責務として、個人情報漏洩時の個人情報保護委員会への報告および本人への通知が義務化された(通知が困難な場合は、特設の問い合わせ窓口などを設けた上で免除される)ことが大きな変更点の一つに挙げられます。
- また、本人に対する権利保護に関して、保有個人データの利用・第三者提供の停止および消去の請求できるケースの拡充、個人情報の第三者提供の記録に対する開示請求権(そのため提供側・受取側とも流通過程を明確に記録する必要あり)の追加等が行われた他、法令・措置命令等違反のペナルティも厳罰化されています。
- 施行に先立つ2月18日、個人情報保護委員会からは、改正法に関する6つのチェックポイントへの対応を呼び掛けるチラシが公開され、特に「まずはここから」対応してほしいとする3つのポイントとして「漏えい等報告・本人通知の手順の整備」「個人データを外国の第三者へ提供しているかの確認」「個人情報に対する安全管理措置を本人の知り得るよう公表する」を挙げています。
2.執筆者からの所感等
- 前述のような事業者側への責務・規制の強化等があった一方で、データ利活用の推進も図られ、例えば個人情報を個人が特定できないよう加工した情報について元の個人情報と同様の管理義務が課せられていたものが新たに「仮名加工情報」とされ、管理義務が緩和される等も行われています。
- 顧客情報をはじめ外部より提供を受けたものから、従業員のマイナンバー等に至るまで、会社で保管している多くの個人情報はサイバー犯罪の標的となり得るものであり、情報漏洩の多くは不正アクセスが原因で起こるものですが、その足掛かりとしてマルウェアに感染させられるケースも多いです。
- 守るべき情報を洗い出し、その情報がどこから漏れるのかを理解した上で、アンチウイルスやUTMにより、外部からの攻撃の遮断、あるいは内部に侵入した攻撃者やマルウェアが外部へ情報を送信したり、指令を受けるために外部サーバーへアクセスしたりするのを食い止めるよう対策を行うことが重要です。