ニュース 2020.08.04 サイバー攻撃での個人情報漏えい、被害者全員への通知義務化へ

現在、サイバー攻撃発生時の企業対応として個人情報保護委員会への報告は義務付けられていないが、従来の規定を改めてサイバー攻撃などの不正アクセスが原因の個人情報漏えいの場合には当局への報告に加えて被害者本人への通知も義務付けられることに決まった。

2022年春から実施され、違反すると最高1億円の罰金を科し、悪質な場合は社名も公表するとのこと。

今回の報告の義務付けは6月に成立した改正個人情報保護法を根拠としており、個人への通知義務は「個人の権利に害を与える恐れが大きい場合」としたが、個人情報保護委員会では厳密な規則が決められ、個人情報流出による被害者を守ろうという方針だ。

現時点では個人情報の流出を個人に対して通知するかどうかは企業の判断に委ねられており、ホームページにお詫びの掲載を載せるだけで済ませたり、漏えいの発生だけをメールで伝えたりするだけのケースも多い。しかし、今後は個人に対しても詳細な情報を伝えることが求められる。

ただし企業においては、この詳細な報告を行うための被害分析作業等の調査にも膨大な費用がかかるため、経済的負担が大きくなるのが問題だ。

近年、原因調査や通知の費用、損害賠償責任を補償するサイバー保険なども登場しているが、サイバー保険の市場規模が35億ドルを超える欧米とは違い、日本国内の企業の加入率は1割程度にとどまっているという。

【関連リンク】

・サイバー被害、全員に通知　個人情報漏洩で企業に義務（日本経済新聞）
https://www.nikkei.com/article/DGXMZO61558710V10C20A7MM8000/

TEXT：セキュリティ通信 編集部
PHOTO：iStock