ナレッジ

台湾における個人情報保護とセキュリティ対策

APリスクアドバイザリー ニュースレター(2023年6月29日)

サイバー攻撃による個人情報流出が多発

台湾において、最近サイバー攻撃による個人情報の流出に関すニュースが多発しています。今年だけでも、業界を問わず、台湾の航空会社、自動車の販売代理店、カーシェアリングサービス、高級ショッピングセンター、インターネット通販サイトなど、セキュリティの脆弱性を狙ったサイバー攻撃が増えており、企業の顧客情報の流出が疑われる事例が相次いで発生しています。

サイバーセキュリティの大手ソリューションプロバイダーの調査結果として、台湾の組織が2023年の第一四半期に受けたサイバー攻撃は1週間平均3,250回という発表がありました。これは、前年度から24%増加しており、また同時期の世界平均の1,248回と比較しても高い頻度のサイバー攻撃を受けていることから、台湾が攻撃者の標的対象となっていることが明らかになりました。(出所:中央通訊社の2023/5/15付け記事)

<2023年 台湾における個人情報流出の疑いがある主な事例>
  • 大手航空会社:海外IPアドレスからのランサムウェア攻撃による顧客情報流出の疑い
  • 自動車の販売代理店:アクセス制限の設定不備を突いた攻撃による会員情報流出の疑い
  • カーシェアリングサービス:データベースの脆弱性を突いた攻撃による40万人のクレジットカード情報を含む会員情報流出の疑い
  • 高級ショッピングセンター:データベースの脆弱性を突いた攻撃による90万人の会員情報や注文/支払い/取引先情報流出の疑い

(データソース:中時新聞網)

2023年5月には、会員登録数が1200万人にも上る自転車シェアリングの運営会社がサイバー攻撃を受け、4万件以上の会員情報や利用履歴が流出したという衝撃的なニュースが流れました。この自転車シェアリングサービスは、事前に交通系ICカードと会員情報をWEBに登録しておくだけで街中で簡単に自転車を借りることができるもので、台湾では多くの人が利用するとても人気のあるサービスです。4万人の携帯電話番号、パスワード、クレジットカード番号、取引データ等の会員情報が流出している可能性があることから、台湾政府は運営会社に対して、セキュリティ対策の強化と改善策、および会員への賠償方法を提出するよう命じています。

運営会社は被害に遭った会員に対して一人当たり500元台湾ドル(約2,300円)を補填することを発表していますが、BtoCで個人情報を取り扱っている金融機関、医療機関、ホテル業界、ECサイトなどに関連する台湾の日系企業も、いつサイバー攻撃によって個人情報が流出するかわからないため、常にリスクを意識した対策を施すことが求められています。

 

個人情報保護法違反の罰金の引き上げ

台湾政府は、前述の通り、企業による個人情報漏流出の疑いが相次いでいることを受け、企業が適切な保護対策やセキュリティ対策を施さずに個人情報を流出した場合の罰金の引き上げを発表しました。今までの罰金は、最高20万元(約90万円)だったのに対し、今回の個人情報保護法の改正では、罰金の最高額を1500万元(約6750万円)にまで引き上げています。この改正案は2023年5月に可決されており、今後企業が適切な対策を施さず個人情報を流出した場合には多額の罰金が科され、期限内に改善しなかった場合には更なる罰金が科されることになります。

 

求められるセキュリティ対策

台湾政府は、個人情報を流出した企業に対して、個人情報保護の対策を適切に施していたことを証明するよう求めています。リスクが高い利用者のアカウント管理方法や、外部委託業者に対する監督、管理、検査の実施などについて、不適切や徹底していないという指摘を受ける傾向がありますが、セキュリティ管理態勢をしっかりと構築し、自社の個人情報の取り扱い状況と、個人情報保護法で求められている事項との差分をしっかりと分析し、法規制における自社の位置づけをしっかりと確認することが重要と考えます。また個人情報が流出しないための予防策だけではなく、ゼロトラストをベースとしたEDRなどのモニタリングツールを利用した発見的な仕組み、および流出の原因究明やデータへの影響を調査する体制や報告手順を構築することも重要と考えます。

デロイト トーマツでは、データガバナンスの構築支援、プライバシー保護システムの導入と最適化、個人情報保護に向けた対応など、データ保護を目的としたデータプライバシーサービスを提供しています。また第三者目線でのITセキュリティのヘルスチェック、セキュリティインシデントの対応、脅威インテリジェンスの監視、ペネトレーションテスト、情報セキュリティの教育・トレーニングなど、幅広いセキュリティに関するアドバイザリーサービスを提供し、企業におけるリスク制御の強化をお手伝いしていますので、是非ともお気軽にお声がけいただきたくお願いいたします。

著者:長坂 賢

※本ニュースレターは、2023年6月29日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?