gurutenの情報セキュリティメモ

業務に関連する情報セキュリティに関するメモを残します

【編集中】個人情報の漏えい時の企業が取るべき対応について

 

まえがき

企業が個人データを漏洩するインシデントを発生させた場合、どのような対応を取る必要があるのか、また、どのようなデータであれば個人情報保護委員会への報告や、プレスリリースによる公表を実施しなくてよいのかをまとめる。

 

個人データの漏えい等の事案が発生した場合に取るべき措置について

対象となるデータ

・個人データ(特定個人情報に係るものを除く)

・加工方法等情報(匿名加工情報の加工の方法に関する情報等)

 

(参考)個人データとは

個人データ:「個人情報」のうち、個人情報データベース等に含まれるもので、開示、訂正、消去の権限を有し、6ヶ月を超えて保有するもの

※わが国の個人情報保護法では、取得時から 6 か月以内に消去することとなる個人デ
ータは、保有個人データには該当しない。*1

f:id:guruten7788:20210128094139p:plain

「個人情報」ってなんだろう?

事業者の皆さん!!その取り扱いで大丈夫?“個人情報 ”

https://www.meti.go.jp/policy/it_policy/privacy/100401_pamphlet_meti.pdf 

 

 

個人情報保護委員会への報告について

「努力義務」として、企業は個人情報保護委員会へ報告を行う必要がある。

次のページから報告:漏えい等の対応(個人情報) |個人情報保護委員会

 

②公表(プレスリリース)について

「望ましい対応」として、事実関係及び再発防止策等の公表を行う必要がある

 

⇒現行の個人情報保護法((2022年春施行予定の改正個人情報保護法では変更となるでは、両方ともマストではない。

 

f:id:guruten7788:20210128091724p:plain

事業者において個人データの漏えい等の事案が発生した場合等の対応(概要)

f:id:guruten7788:20210128091816p:plain

報告先の概要

漏えい等の事案が発生した場合の対応等の概要について(個人情報保護委員会

https://www.ppc.go.jp/files/pdf/190327_rouei_gaiyou.pdf

 

 

個人データが暗号化されていた場合の対応について

 

 

f:id:guruten7788:20210128091339p:plain

CRYPTREC暗号リスト

電子政府における調達のために参照すべき暗号のリスト 

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r5.pdf

 

*1:2022年春施行予定の改正個人情報保護法では変更なので注意!

【編集中】CSIRTが取り扱うインシデントの範囲について

まえがき

CSIRTを所管する情報システム部門(以下、CSIRT)と、システムを利用する各主管部門(以下、主管部門)、そして総務部門で取るべきセキュリティ対策の区分けがわからなかったので整理を行う。

 

CSIRTが取り扱うインシデントの範囲

CSIRT:「システム」に対する「故意攻撃」を対象とする。

主管部門:「システム」に対する「ミスやルール違反」を対象とする。

総務部門:「物理媒体」における対応全般を対象とする。

f:id:guruten7788:20210126093341p:plain

情報資産に係る脅威の分類と対応担当

経営リスクと情報セキュリティ~ CSIRT:緊急対応体制が必要な理由 ~

一般社団法人 JPCERT コーディネーションセンター2015 年 11 月 26 日

https://www.jpcert.or.jp/csirt_material/files/csirt_for_management_layer_20151126.pdf

 

内部要因による情報漏えいは誰が取り扱うのか?

情報漏えいの原因は以下の2つに分類される

故意:不正アクセスや内部不正など

過失:誤操作や紛失・置き忘れ、設定ミスなど

f:id:guruten7788:20210126094735g:plain

情報漏えいの2大原因

マイナンバー制度開始直前、個人情報漏えい防止のために対策すべきこと - ITmedia エンタープライズ

 

これをさらに「内的要因」「外的要因」に分類すると、内的要因には以下が該当する。

内的要因による「過失」:誤操作、管理ミス、紛失・置き忘れ、設定ミス

内的要因による「故意」:内部不正

 

 

f:id:guruten7788:20210126095644p:plain

情報セキュリティインシデントの類型

医療機関の経営者にとっての情報セキュリティ|ヘルスケア|デロイト トーマツ グループ|Deloitte

 

 

ハード面: 

ソフト面:

 

 

改正個人情報保護法で追加される「仮名加工情報」について

改正個人情報保護法施行までのスケジュール

  • 2020年3月10日 閣議決定
  • 2020年6月5日   国会で可決・成立
  • 2020年6月12日 公布
  • 2021年夏ごろ ガイドライン・Q &A公表
  • 2022年4月頃? 全面施行予定

※公布の日から起算して2年を超えない範囲内において、政令で定める日から施行することとされている。

 

改正個人情報保護法の気になるポイント

1.「仮名加工情報」の追加

  • 個人情報取扱事業者が自社内部で個人データを匿名化して活用しようとする場合、「仮名加工情報」の加工基準・加工方法を満たす場合においては個人の各種請求に応ずる義務がなくなる。
  • 個人情報に該当する「仮名加工情報」については、目的外利用が禁止され、取得にあたって利用目的について公表等が必要となるので、事業者内部で制限なく利用するためには、個人情報に該当しない「仮名加工情報」にする必要がある。
  •  仮名加工情報は事業者内部で利用することが想定されており、本人の同意を得て個人データとして提供する場合しか第三者提供はできないので、ビックデータとして広く利用されることにはならないのではないかと考えられます。

2.個人情報漏洩時の「委員会への報告」及び「本人への通知」の義務化

  • 漏えい等報告について、法令上の義務として明記する(現行個人情報保護法では、個人情報の漏えいの報告は努力義務)。
  • 改正法により、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合に限定して、速やかに委員会へ報告することを義務付ける。
  •  明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付ける。(速報)
  •  速報とは別に、一定の期限までに確報として報告を求める。(確報)
  • 漏えい等報告先は委員会又は権限委任官庁への提出に限定する。(現行個人情報保護法上は、一定の場合、委員会以外に、権限委任官庁及び認定個人情報保護団体に対して提出することを認めている。)
  • 報告対象事案については、原則として本人への通知を義務付ける。

3.6ヶ⽉以内に消去する短期保存データを保有個⼈データに含める

  • 本人の開示等の請求対象となる「保有個人データ」について、保存期間により限定しないこととされ、現在除外されている6か月以内に消去する短期保存データも「保有個人データ」に含められることになる。

 

f:id:guruten7788:20210124155647p:plain

個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)

令和2年 改正個人情報保護法について [個人情報保護委員会]

 

※参考:「個人情報」「個人データ」「保有個人データ」の違い

「個人情報」

  • ①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
  • ②個人識別符号
  • 個人情報保護法上、「個人情報」という用語が用いられている場合は、事業者の「個人情報データベース等」(同法2条4項、下記(2)参照)にまだ取り込まれていない「生の個人情報」のこと。例えば、データベース化されていない書面・写真・音声等に記録されているものがこれに該当する。 

「個人データ」

  • 「個人情報データベース等」を構成する個人情報

保有個人データ」

  • 「個人データ」のうち、「個人情報取扱事業者」が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ

 

「仮名加工情報」とは

  • 「個人情報」と「匿名加工情報」の中間的な制度として、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報

この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定め
る措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

  • 一 第一項第一号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 二 第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること(この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特を含む。)。

https://www.ppc.go.jp/files/pdf/200612_houritsu.pdf

 

 

 

f:id:guruten7788:20210124170611p:plain

改正法における仮名加工情報の概要

 

f:id:guruten7788:20210124170646p:plain

仮名加工情報と匿名加工情報の加工基準の差異


 

https://www.ppc.go.jp/files/pdf/201127_kameikakou.pdf

  

【参考】Q&A改正個人情報保護法(2020 年8月 21 日全面改訂版) 

    [弁護士法人三宅法律事務所]

https://www.miyake.gr.jp/sites/default/files/attached/topics/qagai_zheng_ge_ren_qing_bao_bao_hu_fa_2020nian_8yue_21ri_gai_ding_ban_.pdf

 

情報セキュリティ対策の取り組みの社外への公開方法について

○「サイバーセキュリティ対策情報開示の手引き」(総務省、2019年6月)

https://www.soumu.go.jp/main_content/000630516.pdf

 

1 有価証券報告書【制度開示】
金融商品取引法(昭和 23 年法律第 25 号)第 24 条に基づき、有価証券の発行者である 会社は、事業年度ごとに、当該会社の商号、当該会社の属する企業集団及び当該会社の経理 の状況その他事業の内容に関する重要な事項その他の公益又は投資者保護のために必要か つ適当な事項について記載した報告書(有価証券報告書)を内閣総理大臣に提出することが義務づけられている。


2 コーポレート・ガバナンス報告書【制度開示】
有価証券上場規程(平成 19 年 11 月 1 日東京証券取引所)第 204 条第 12 項第1号等に 基づき、新規上場申請者は、コーポレート・ガバナンスに関する事項について記載した報告 書(コーポレート・ガバナンス報告書)を提出することとされている。また、上場後、その 内容に変更があった場合は、遅滞なく変更後の報告書を提出することとされている。コーポ レート・ガバナンス報告書については、コーポレート・ガバナンスに関する基本的な考え方 及び資本構成、企業属性その他の基本情報等を記載することとされている。


3 CSR 報告書/サステナビリティ報告書【任意開示】
CSR(企業の社会的責任)報告書は、環境や社会問題などに対して企業は倫理的な責任を 果たすべきであるとする CSR の考え方に基づいて行う企業の社会的な取組をまとめた報告 書であり、サステナビリティ(持続可能性)報告書とも呼ばれている。環境、労働、社会貢 献などに関する情報や、事業活動に伴う環境負荷などが幅広く公表されている。


4 統合報告書【任意開示】
2013 年に国際統合報告評議会(IIRC)から「国際統合報告フレームワーク」が公表され たが、同フレームワークでは、「統合報告」を「財務資本の提供者に対し、組織がどのよう に長期にわたり価値を創造するかを説明すること」と位置づけている。我が国においては、これを受け、「統合報告書」という名前の書類を活用して、財務情報と非財務情報を連動し て開示するケースが増えつつある。


5 アニュアルレポート【任意開示】
「年次報告書」とも呼ばれ、企業が年度末に株主や投資家、金融機関、取引先などの関係 先に配布する、経営内容についての総合的な情報を掲載した冊子。


6 情報セキュリティ報告書【任意開示】
2007 年(平成 19 年)9月に経済産業省が「情報セキュリティ報告書モデル」を公表し ており、企業の情報セキュリティの取組の中でも社会的関心の高いものについて情報開示 することにより、当該企業の取組が顧客や投資家などのステークホルダーから適正に評価 されることを目指している。同モデルにおいては、1報告書の発行目的といった基礎情報、 2経営者の情報セキュリティに関する考え方、3情報セキュリティガバナンス、4情報セキ ュリティ対策の計画・目標、5情報セキュリティ対策の実績・評価、6情報セキュリティに 係る主要注力テーマ、7(取得している場合の)第三者評価・認証等を基本構成としている。


なお、現状、サイバーセキュリティ対策に係る記載の量は、任意開示の書類(CSR 報告 書、サステナビリティ報告書)が比較的多い傾向にあり、制度開示(有価証券報告書、コ ーポレート・ガバナンス報告書)の書類では比較的少ない傾向にある