来月から2022年度がスタート、サイバーセキュリティにかかる分野でも新しい取り組みが始まります。これまでと何が変わるのでしょうか? 主要な点をまとめてみました。
改正個人情報保護法が全面施行されます
2020年6月に可決・成立した改正個人情報保護法が4月から全面施行されます。改正個人情報保護法についてはこれまでも何回が記事にしてきましたが、もう一度主なポイントを確認してみましょう。個人情報保護委員会のウェブサイトでも改正個人情報保護法のチェックポイントを示しています。
- サイバー攻撃を受けるなどして個人情報が漏えいした場合、これまで個人情報保護委員会への報告は努力義務とされていましたが、4月からは報告が義務化され、本人に対する通知義務が生じます。
- 国内の事業者が海外の第三者に個人データを提供できるケースは、本人の同意を得た場合、データの提供先事業者が基準に適合する体制を整備している場合、データ提供先の国が個人情報の保護に関して日本と同等の水準の国である場合のいずれかに限りデータの提供が可能という点はこれまでと同じですが、改正法ではさらに本人同意を得る際にデータを移転する外国の個人情報保護に関する制度等の情報を本人に提供することを義務付けているほか、基準に適合する体制を整備している外国の事業者にデータを提供する場合には、契約履行状況の確認など必要とする措置を新たに義務付け、本人から求められた場合は措置に関する情報を本人に提供することを義務付けています
- 提供元では個人データに該当しなくても提供先で個人データになり得るデータの第三者提供については、本人同意が得られていることの確認が義務付けられます。
個人情報保護法の改正は2021年にも行われており、2021年の法改正ではこれまで国の行政機関や地方自治体等がバラバラに定めていた個人情報保護規定を個人情報保護法に一元化することが決まりました。個人情報保護委員会によると、2021年の改正法について国の行政機関と独立行政法人の個人情報保護法への一元化の部分についても来月施行され、地方自治体に関する部分は来年施行されるということです。
今後3年間を見据えた重要インフラ行動計画
内閣のサイバーセキュリティ戦略本部は昨年9月、今後3年間を見据えた新たなサイバーセキュリティ戦略を閣議決定し、これを受けて内閣サイバーセキュリティセンター(NICS)は国内のインフラ事業者とそのサプライチェーンに向けた新たな行動計画を立案、パブリックコメントを経て近くサイバーセキュリティ戦略本部で決定される見通しです。新たな重要インフラ行動計画では、サイバーセキュリティ対策を経営課題と位置づけ、企業の経営層が対処すべき問題であることを明確にしていますので、企業にとってもサイバーセキュリティは今まで以上に重要なテーマになっていくと考えられます。
警察庁にサイバー警察局、自衛隊にサイバー防衛隊
改正警察法が今国会で可決、成立し4月から警察庁にサイバー警察局が新設されます。日本警察のサイバー犯罪捜査というと、過去にはマルウェアを使ってパソコンを遠隔操作して行われた殺害予告事件において、IPアドレス頼りの捜査で誤認逮捕をした不祥事があり、また不正送金をはじめたとした金融サイバー犯罪の増加、さらには海外からのランサムウェア攻撃など悪質化するサイバー事案に十分に対処できていない印象もありました。4月からはサイバー捜査を専門に手がける捜査隊が発足して全国のサイバー犯罪事件の捜査指揮を担うとともに、海外のサイバー捜査機関との連携も強化して国際的なサイバー犯罪の摘発にも乗り出すようですので、日本警察の今後のサイバー捜査に期待したいと思います。
自衛隊にはすでに3月17日にサイバー防衛隊が発足しており4月以降活動を本格化させていくものと思われます。ウクライナでのサイバー戦争を目の当たりにし、世界はサイバー防衛の必要性を強く認識しました。防衛省が新設したサイバー防衛隊は主に自衛隊の通信設備に対するサイバー攻撃への対処を担う部門のようですが、社会がデジタル化すればするほど安全保障としてのサイバーセキュリティの在り方が問われると思いますので、サイバー領域における防衛省の役割は今後、さらに増していくと思われます。