改正個人情報保護法が施行されて4カ月、個人情報を扱う企業の現場ではどのような対策がなされているのでしょうか? このほどオンラインで開催された「サイバーセキュリティ総研専門家対談ウェビナー」では「多発する個人情報漏洩事故 これからの対策の考え方とは?」と題してプライバシーザムライ・中 康二氏とサイバーセキュリティ総研の山口智氏がそれぞれ講演、現状での課題や取り組むべき対策について解説しました。
どのような場合に報告義務が生じるのか?
代表の中康二氏
オプティマ・ソリューションズ代表でもあるプライバシーザムライ・中 康二氏は、つるぎ町立半田病院でのランサムウェア事案や製粉大手「ニップン」の不正アクセス事案など昨今の個人情報漏えいにかかるサイバーインシデントやEmotetの現状について触れつつ、改正個人情報保護法で義務化された個人情報保護委員会への報告について解説しました。中氏によると以下の4つの個人情報漏えい事案については個人情報保護委員会への報告義務が発生するということです。
- 要配慮個人情報が含まれる事態
- 財産的被害が生じるおそれがある事態
- 不正の目的をもって行われた漏えい等が発生した事態
- 1000人を超える漏えい等が発生した事態
要配慮個人情報とは、人種や信条、社会的身分、病歴、犯罪歴、犯罪被害歴、身体の情報や医師の診断履歴等が含まれ、財産的被害とはクレジットカードのデータやネット上での決済が可能になるIDやパスワードなどが含まれるということです。不正の目的をもって行われた漏えい等には不正アクセスによる漏えいが含まれるということです。また、報告が必要となる事故は「漏えい等」であり、この「等」には個人データの内容が意図しない形で変更されるなどデータの「棄損」、個人データの内容が失われる「減失」が含まれているということです。
高度に暗号化されていれば報告義務は生じない
一方、個人データを第三者に閲覧されないうちにすべて回収した場合は漏えいとはならず、また、データが高度な暗号化など個人の権利利益を保護するために必要な措置がとられている場合は報告の対象にはならないということです。さらに個人データが失われる減失では、バックアップデータが他に保管されていれば減失とはみなされないということです。
個人情報保護委員会への報告については、発覚から3~5日以内にまず速報を提出し、不正目的による漏えい等の恐れがある場合は発生から60日以内、不正目的の恐れがない場合は30日以内に確報を提出しなければならないということです。また、本人に対する通知も義務化され、通知は発覚後、速やかに行わなければならないということです。「5日間のうちに、報告が必要か、しなくていいのかを判断することが法律上、義務付けられている。これは結構、大変です」と中氏。改正個人情報保護法に対応した態勢を企業は日頃から整えておくことが重要だと説明しました。
アンチウィルスでは確報作成への対応は不可能
EDRが有効」と題して解説した
では企業はどのような態勢を整えるべきなのでしょうか?サイバーセキュリティ総研の山口智氏は、改正個人情報保護法制下におけるサイバーセキュリティのあり方を解説しました。山口氏によると、情報漏えいのインシデントには、組織内部の人的要因による「悪意のある情報漏えい」(転売・流用・内部犯)と「不正アクセスによる意図しない情報漏えい」の2種類があるということです。内部の人的要因による悪意のある情報漏えいに対してはISMS(情報セキュリティマネジメントシステム)等のルール整備やIT資産管理ソフトにより操作ログの記録を残すことで対処が可能だということです。一方、不正アクセスによる意図しない情報漏えいに対しては、どのような対応が必要になるのでしょうか?
改正個人情報保護法では5日以内に速報を、60日以内に確報を個人情報保護委員会に提出することが義務付けられており、確報については漏えいの内容や原因にとどまらず、二次被害の有無、再発防止措置まで含めた内容でなければならないということです。山口氏は「中小企業、中堅企業にとって60日以内に確報を作るのは、かなり準備が整っていないと不可能」だと言います。確報を作成するにはログの詳細な調査が必要となり、マルウェアの捕捉に主眼を置いた従来のアンチウィルスソフトによるセキュリティ対策では確報作成に対応することは不可能だということです。
多くの企業が報告すべきかどうか判断できない状況
そこで求められるのがEDR(Endpoint Detection and Response)だということです。「EDR製品は、アンチウィルスソフトと違ってすり抜けたマルウェアのログもしっかり記録しているので、被害範囲の特定や侵入経路の特定、脅威ハンティング、情報漏えいの有無など確報に必要なデータを得ることができ、EDRなくして60日以内に調査をして確報を作ることはかなりハードルが高い」と山口氏は言います。従来のアンチウィルスソフトは、すり抜けて感染したマルウェアに対してはお手上げ状態ですが、EDR製品であれば、不正な挙動はすべて記録しているため、不正アクセスが発覚した時は速やかにログを調査することができ、確報の作成に対応することができるということです。
山口氏によると、現在、多くの企業が個人情報保護委員会に報告するべきかどうかの判断ができず、そのため調査の必要性を調査する前調査の依頼が非常に増えているということです。「実際に現場で起きているのは、漠然と『ウィルスに感染したと思う』『何がやられたのかはわからない』みたいなケースが多く、調査のための調査が必要になる」と山口氏。そこでEDR製品が導入されていないと調査を進めることができず、その結果、60日間で確報を作ることができないという問題が発生していると言います。
車の事故に例えればEDRはドライブレコーダー
EDR製品が導入されていないコンピューターでサイバー事故が発生した場合、専門業者であるフォレンジック業者に調査を依頼することになりますが、フォレンジック調査は交通事故に例えるなら事故後に目撃者を探したり、タイヤ痕など現場を詳しく調べる調査となるため費用は100~300万円と高額になるということです。一方、EDR製品が導入されていれば、ドライブレコーダーと同様にさまざまな状況(データ)が記録されているので、ドライブレコーダーの映像をチェックすることで交通事故の状況が明らかになるのと同じように、EDR製品の記録をチェックすることでサイバー事故の状況を把握することが出来るということです。
EDR製品は、マルウェアの防御にとどまらず、マルウェアが防御をすり抜けてコンピューターに侵入した場合でも挙動を記録して早期に発見し被害を最小限にとどめ、さらにコンピューターを修復する機能も有しているということです。
その上、コンピューターにおける様々な挙動を記録しているのでマルウェアの侵入経路や被害実態の把握が可能となり、改正個人情報保護法にも速やかに対応できるということです。山口氏は「EDR製品は、いざという時に満足のいく調査を行える態勢に必要な製品。EDRを入れておかないと、サイバー保険だけ入れていても調査が進まずに詰んでしまうことがあります」と話し、「法律に準拠するためには報告を迅速に行うための調査ができる、ということが非常に重要になってきます」とし、EDRの必要性を改めて強調しました。