個人情報の漏洩リスクの高まりと対策 ブックマークが追加されました
ナレッジ
個人情報の漏洩リスクの高まりと対策
クライシスマネジメントメールマガジン 第32号
個人情報管理について、企業は新たなテーマに直面している。企業内での取り組みや外部サービスの活用による対応が求められている。デロイト トーマツ ファイナンシャルアドバイザリーの『個人情報検索サービス』の紹介とともに、個人情報管理の対応について概説する。
■漏洩被害の拡大と法改正
2020年6月、「個人情報の保護に関する法律等の一部を改正する法律」が国会において可決、公布され、2年以内に施行されることが決まった。この改正により、情報の漏洩などが発生した際の本人通知が義務化されたほか、罰金最高額が1億円に引き上げられ、悪質な場合の社名の公表も盛り込まれている。本人通知の義務化などは、海外の一部の国では既に法令に定められている部分であるが、今回、我が国においても個人情報管理についてさらなる強化の方針が定められたことになる。
こうした個人情報の管理強化の背景として、社内情報を外部に流出させてしまうようなサイバー攻撃の世界規模での増加など、企業が管理する個人情報への脅威が増していることが、理由の一つとなっていると考えられる。
特に、近年その被害が多数報告される二重恐喝型ランサムウェアを用いた一連の攻撃は、様々な派生的被害を引き起こすため企業にとって深刻な脅威であるが、標的型と呼ばれる特定の企業を狙った攻撃を行うケースが多発しており、個人情報を含む多くの社内情報を短期間で暗号化し、社内の情報を閲覧不能としたうえで、さらにダークウェブ上にその内容を暴露するなど、被害が大規模になる傾向にある。
■漏洩被害の質的変化
従来、個人情報漏洩に関する脅威とは、おおむね内部の人間による情報の持ち出しや、管理側の見落としなどによる偶発的な事象と認識されてきた。こういったケースでは、企業内に定型化されデータベースに保存してある内容が、まとまった形で漏洩する場合が多く、それ自体は重要な問題ではあるものの、どの情報を、どれだけ漏洩させたかという点で、企業側もその被害を短期間に特定し、漏洩した被害者に対し速やかな対応を行うことが可能であることが多かった。
しかしながら、個人情報漏洩はそういった“古典的な”ものから質的な変化をみせてきている。企業内には、データベースなどに定型化されず、ファイルやメールなどで流通する個人情報が数多い。冒頭で紹介したランサムウェアなどによる攻撃は、対象となる情報が定型化されているか否かにかかわらず、広い領域を一括で暗号化し、丸ごと社外に漏洩させてしまうものであり、作業中の内容や、個人情報の証跡となる書面、データベースから抜き出して個人で一時的に保管している内容まで、他の情報と合わせて一切合切を流出させてしまう。被害の内容や会社の規模によっては、数十テラバイト単位の流出の恐れを懸念するケースなども頻出しており、場合によっては数億のドキュメント類が被害検討の対象となってくるが、その場合は、「その中にどのような個人情報が、どれだけ含まれていたか」という被害確定に半年から一年といった長期の検証を覚悟せねばならない。昨今の個人情報漏洩は、被害特定そのものが企業にとっての大きな課題となっているのだ。
■個人情報の実態把握の難しさ
では、どのように特定するのか。情報検索手段として一般に用いられるのは、キーワード検索だが、実は個人情報はその性質上、単純なキーワード検索から特定することが難しい。キーワード検索はその情報に含まれているキーワードを指定して、網羅的に検索をかける方法だが、個人情報はそれぞれがユニーク(固有の情報)であるため、共通のキーワードを特定できず、有効なやり方とは言い難い。
キーワード検索が現実的でないのであれば、人間が目視で確認していくほかはなく、従来こういったケースにおいては実際に一つひとつ目視で個人情報の有無を確かめてきた。しかし、ランサムウェアによる攻撃の対応としては、そのやり方では規模が大きすぎ、人間による全数確認は現実的ではない。
予防策として、法令に基づいた対応の強化や、ビジネスモデルの変化に対応した役職員に対するトレーニングなど実行可能な施策はもちろんあるが、実態把握ができない状況が放置されたまま、仮に漏洩した場合には、リスクマネジメントの有効性に疑問符を付けられ、ステークホルダーから大きな批判を浴びかねず、有事対応そのものを難しくしてしまう。従来の手法が通用しなくなってきているといえる。
■新たな手法
環境の変化にあわせて、企業は個人情報管理に関する新たな方法論を確立していく必要がある。特に、個人情報の把握・確認に伴う作業の削減、サイバー攻撃による被害への速やかな対応方法の確立など、新たなリスクに対する新たな手法を確立することは急務である。
このような状況を受けてデロイト トーマツでは、『個人情報検索サービス』を開発した。従来のキーワード検索だけでなく、専用ツールを用いてサーバーやPCなどのデータソースから個人情報を検索・特定し、企業内に存在する個人情報の全体像を明らかにしていく取り組みである。
このサービスでは、まず、企業内のサーバーやPCなどのデータソースから、専用ツールを用いて名前やメールアドレスだけでなく、個人に紐づく口座番号や、マイナンバーを検索し、どこにどういった情報があるかを特定していく。検索可能な情報はほかにも、パスポート番号や運転免許番号などもあり、流出した際に影響度が高い個人情報に着目しながら、その所在を明らかにしていく。個人情報管理にまつわるリスク対応計画や、定期監査の場面において、人手を介した作業と比較して時間や費用の削減だけでなく、人為的な確認漏れなどのリスク低減も期待できる。併せて、デロイト トーマツ側では個人情報管理の専門家による体制構築や運用サポートも実施しているため、トータルでの個人情報管理およびリスク検討が可能となっている。
個人情報管理について、企業は新たなテーマに直面している。企業内での取り組みや外部サービスの活用による対応が求められている。
※本文中の意見や見解に関わる部分は私見であることをお断りする。
執筆者
清水 亮
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス
シニアヴァイスプレジデント
大手出版社勤務後、大手メーカー経営企画にて、グローバル戦略、ブランドマネジメントを担当。2014年より、NPEファンドの立ち上げに参画。2016年より現職。現在は有事を中心にクライシスマネジメント(初動対応、危機管理広報)業務の提供を行っている。
