今年6月、国会で個人情報保護法の改正案が可決・成立し公布されました。現在、2年以内の施行に向けて、政府の個人情報保護委員会(丹野美絵子委員長)で新たな規則やガイドライン作成の協議が行われています。個人情報保護法の改正は企業に大きな影響を及ぼすことは必至です。改正個人情報保護法のポイントについてサイバーセキュリティの観点から見てみましょう。
今回の個人情報保護法改正で注目されるのは、命令違反や虚偽報告に対する罰則の法定刑が引き上げられ、個人情報保護委員会の権限が強化されたことです。委員会の命令に違反した場合、これまでは6月以下の懲役又は30万円以下の罰金でしたが、改正法施行後は1年以下の懲役または100万円以下の罰金となり、虚偽報告についても30万円以下の罰金が50万円以下に引き上げられました。また改正法では法人重科を採用し、命令違反やデータベースの不正提供に対する法人への罰金額は最高1億円にまで引き上げられました。
個人情報保護委員会は個人情報が適正に取り扱われるよう事業者に対して指導、監督を行う機関で、2016年に内閣府の外局として設置されました。個人情報を取り扱う事業者に対して立ち入り検査や報告を求める権限を有し、違反が認められた場合は勧告や命令を発出します。命令違反や虚偽報告等、個人情報保護法違反が認められれば捜査機関に告発する流れです。しかし、委員会が設置されてからまだ日が浅く、これまではどちらかと言うと「試運転」とも言える期間だったので命令や告発にまで至ったケースはありませんでした。今回、個人情報保護法が改正され、罰則が引き上げられたのは、いよいよ委員会が本格的に稼働することを意味しているといえます。実際、個人情報保護委員会は今年7月、破産者の氏名や住所などの個人情報をインターネットに公開していたサイト運営者に対して、初めてとなる停止命令を出しました。
これまで委員会は事業者に対し、個人情報の漏えいがあった時は委員会に報告をするように求めていました。これは事業者に努力義務としてお願いしていたものでした。しかし、今回の法改正により、個人情報が漏えいし、個人の権利や利益を害する恐れがある場合、委員会への報告と本人への通知が義務化されることになりました。具体的にどのようなケースの漏えいにおいて報告や通知義務が生じるのかは今後策定される規則に具体的に盛り込まれることになりますが、このほど開かれた委員会では、本人の信条や社会的身分、病歴などの要配慮個人情報の漏えい、財産的被害に至るおそれのある情報の漏えい、さらに不正アクセスによる漏えいについては件数の多い少ないにかかわらず報告、通知義務が生じ、その他の漏えいについても安全管理措置について懸念される一定数以上の大規模な漏えいに対しては報告、通知義務が生じるとの方針が示されました。つまりサイバー攻撃による個人情報の漏えいについては、すべて報告や通知義務の対象になると考えられます。報告や通知をしないで放っておくと命令の対象となり、告発されれば最高で1億円もの罰金を受けることになりかねません。企業はネットワークからの情報漏えいに対してより厳格な対応を迫られることになります。
今回の法改正は欧州のGDPR(一般データ保護規則)を参考に行われたといわれています。GDPRは2016年4月に欧州連合(EU)の欧州議会で採択され2018年5月に施行されたEUの個人データ保護のための規則です。GDPRは、企業のシステムデータに侵害が発覚した場合、72時間以内に監督機関に詳細を報告しなければならないなど厳しい規則を定めています。アメリカのサイバーセキュリティ企業、ファイア・アイが自社の調査にもとづくデータをまとめて毎年発行しているレポート「M-Trend」では、侵害の発生から検知に至るまでの日数の中央値をグラフ化して示しています。同レポートによるとEMEA(ヨーロッパ、中東、アフリカ)では2018年に内部で検知したケース、外部指摘により発覚したケースともに侵害日数の値が急増しました。その要因としてGDPRにより規制が強化されたことを受けて企業各社がセキュリティ対策を強化したことで過去の侵害が発覚したことを上げています。一方2019年のデータではEMEAにおける侵害日数は大幅に減少、レポートは「組織のセキュリティ体制が改善され、現在進行形の課題に組織が重点的に取り組んでいる」と分析しています。
日本国内においても、改正個人情報保護法の施行に向けて今後、中小を含め企業各社のセキュリティ対策はさらなる強化が求められていくものとみられますが、現状においては「具体的な取り組みを検討する段階ではない」(情報処理推進機構)と様子見状態です。今後、策定される規則やガイドラインに沿って対策が進むものとみられ、個人情報保護委員会における協議が注目されます。
■出典
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
https://www.ppc.go.jp/files/pdf/200722_shiryou-1.pdf
https://content.fireeye.com/m-trends-jp/rpt-mtrends-2019-jp
https://content.fireeye.com/m-trends-jp/rpt-m-trends-2020-jp