個人情報保護委員会から、個人情報流出が発生した企業組織に対し、被害者全員への通知の義務付けおよび厳密な罰則規定を設けると公表されました。
概要
個人情報保護委員会によると、企業組織において個人情報流出に関わるインシデントが派生した際には本人への通知を義務化するというもので、違反に対して高額な罰金や社名の公表、場合によっては訴訟の可能性もあるとのことです。
米国や欧州では、企業組織の個人情報流出の際「本人への通知」および「個人情報保護委員会への報告」は各国のルールに基づき原則義務化されております。一方の日本では、個人への通知は各企業組織に判断が委ねられており、法律上の罰則規定もなく、インシデントの情報開示の際もホームページ上でお詫びや概要を掲載する程度で済まされているケースが少なくありません。
企業組織必要となる対応
個人情報流出の情報開示の義務化が始まった場合、フォレンジック調査をはじめ、メールアドレスや銀行口座、商品の購入履歴などの記録参照、コンピュータやシステム改修、クレジットカードの再発行といった厳密な対応が企業組織に求められることになるとみられております。
なお、義務化は2022年春ごろから実施が予定されているとのことです。
【参考URL】 サイバー被害通知義務化 個人情報漏洩の全員に企業の対応不可避 |