個人データの情報セキュリティ対策
個人情報のグローバル対応 第13回 - データ活用の進展と漏洩リスクの増大は表裏一体であり、大量の個人データを保有・活用する組織に、より強化されたセキュリティ対策が求められることは必然である。
データ活用の進展と漏洩リスクの増大は表裏一体であり、大量の個人データを保有・活用する組織に、より強化されたセキュリティ対策が求められることは必然である。
高まるデータ漏洩リスク、強化される情報セキュリティ対策
IT(情報技術)の進化・発展により、企業におけるデータ活用の利便性は飛躍的に向上した半面、データ漏洩のリスクも高まっている。
昨今では、国内外問わず多くの企業における個人データの漏洩事件がニュース等で報道されている。日本年金機構において発生したサイバー攻撃による大量の個人データの漏洩事件は特に反響が大きく、多くの企業等はサイバー攻撃によるリスクを再認識し、情報セキュリティ対策の強化に取り組んでいる。
国内外の法令で求められる情報セキュリティ要件
日本の個人情報保護法において事業者に要求される情報セキュリティ対策は、安全管理措置と呼ばれ、改正後の個人情報保護法に関するガイドラインにおいても具体的な対策が示されている。安全管理措置は、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つに分かれている。アクセス制御や不正ソフトウェア対策をはじめとするIT面での情報セキュリティ対策は、技術的安全管理措置として示されている。企業等は当該ガイドラインを参考に、自組織における安全管理措置の対応状況を確認する必要がある。
一方、海外に子会社があり、当該子会社から個人データの移転がある日系企業においては、当該国における情報セキュリティ要件も参照し、対応状況の確認が必要な場合がある。特にEUの一般データ保護規則(GDPR)では、たとえ日本国内に拠点を置く企業であっても、違反企業に最大で連結売上高の4%、または2千万ユーロまでの制裁金を科す罰則規定が存在する。個人データに対する情報セキュリティ対策の重要性は一層増加することになる。
技術的安全管理措置における日本及び英国規制の対象領域の比較
| 対応領域 | 個人情報保護法 (日本) ガイドライン |
個人データ保護規則 (英国) ガイドライン |
|---|---|---|
| アクセスにおける識別と認証 | 〇 | 〇 |
| アクセス制御 | 〇 | 〇 |
| アクセス権限の管理 | 〇 | 〇 |
| アクセスの記録 | 〇 | |
| 不正ソフトウェア対応 | 〇 | 〇 |
| データ移送・送信時対応 | 〇 | 〇 |
| 情報システム動作確認時対策 | 〇 | |
| 情報システム監視 | 〇 | |
| 記録媒体からの情報漏洩対策 | 〇 | 〇 |
| バックアップ対応 | 〇 | 〇 |
データ漏洩のリスク評価は継続的に
ハッカー達は日々サイバー攻撃の手法を進化させ、国内外の企業の個人データ漏洩事故発生リスクを増大させている。情報セキュリティ対策の実施も一過性のものとするのではなく、継続的にリスクを評価し対策を強化し続ける必要がある。
執筆者
KPMGコンサルティング
シニアマネジャー 宮原 潤
日経産業新聞 2016年11月18日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
