改正個人情報保護法で考えるセキュリティ
2022年4月1に「改正個人情報保護法」が施行されました。
今回の改正では不正流用や侵害による被害が起こらないよう、“セキュリティ対策の強化”がより一層求められています。
ここでは個人情報の漏えいの主な要因と対策について記載します。
■個人情報の漏えいが起こる要因
・外部からの攻撃による漏えい
ここで注意したいのは、ウイルス感染や不正アクセスなどの攻撃を受けて個人情報が抜き取られる場合です。
なかでもメールへのファイル添付によるemotet(エモテット)など「マルウェア」と呼ばれる不正なソフトによる攻撃が問題となっています。また、それらは手口が巧妙化しあらゆる方法でセキュリティをすり抜けようとします。
⇒会社では継続的な対策が必要です。
UTM(統合脅威管理)※と各パソコンでのセキュリティ対策ソフトの併用をおすすめします。
また、UTMがあるのでパソコン毎のセキュリティ対策ソフトは不要?とご質問される方がいらっしゃいますが、UTMを導入しても、セキュリティ対策ソフトは必要です!
| UTMですべての攻撃に対して完璧に防御できるわけではありません。
そのため、セキュリティ対策ソフトを使って多層防御を講ずる必要があります。 また、ウイルスに感染する経路は不正アクセスだけでなく、ウイルスファイルを含むメールの開封や、感染したUSBメモリの利用といったヒューマンエラーも考えられます。 UTMでは、このような外的要因によるウイルス感染は防げないため、セキュリティ対策ソフトとの併用をおすすめします。 |
※UTM:ファイアウォール、アンチウイルス、IPS/IDS(不正侵入検知/不正侵入防御)、Webフィルタリング、アプリケーションコントロールなど様々なセキュリティ機能を一元化した機器
・内部不正による漏えい
従業員などによるヒューマンエラーが原因で個人情報の漏えいが起こる危険性があります。最近では個人情報が入ったUSBメモリを紛失した事故、自宅の私用パソコンで作業するなど悪意なく個人情報を持出されていることも珍しくありません。また、会社に不満を持っている人が会社に損害を出させるため故意に個人情報を流出させた事例も存在します。
⇒個人情報の利用目的に応じてアクセス権限を設定するなど、内部の管理を徹底する必要があります。
内部の管理については、IPA(情報処理推進機構)「組織における内部不正防止ガイドライン」の
「内部不正防止の基本原則」に沿って、対策を検討することもひとつの手段といえます。
また、IT機器利用、共有ファイル操作などのログ管理やUSBメモリを制限など行うIT資産管理・情報漏えい対策ソフトの導入をおすすめします。
上記の個人情報の漏えい対策に加え、ランサムウエア等で業務データに被害にあった場合、正常に業務が復旧できるようなバックアップシステムを構築しておくことも重要です。
セキュリティ製品・サービス、バックアップシステムに関するご相談は、社内システムエンジニアによる安心サポート、プライバシーマーク取得事業者のエスアールまでご相談ください。
<参考情報>
IPA「組織における内部不正防止ガイドライン(日本語版) 第5版ガイドライン」
https://www.ipa.go.jp/files/000097099.pdf
IPA「内部不正チェックシート(日本語版) 5.0版
