近年、企業規模を問わず、サイバー攻撃の対象として狙われる傾向が高まっている。2022年4月には、改正個人情報保護法も施行されたことで、サイバー攻撃で被害に遭遇した際のリスクは高まっている。この記事では、個人情報流出時の具体的な損害や、被害を未然に防ぐためのセキュリティ対策を解説する。
個人情報流出が中小・零細企業のリスクに
サイバー攻撃の矛先が大企業だけでなく、中小企業にも向けられるようになっている。その背景にあるのは、大企業と中小企業のセキュリティ格差だ。IPAが2022年3月に公開した「2021年度中小企業における情報セキュリティ対策の実態調査報告書」においても、過去3年間で情報セキュリティ対策投資を行っていない中小企業が3割に達していることが判明している。同報告書では、「必要性を感じていない」が40.5%、「費用対効果が見えない」が24.9%と続いており、自社がサイバー攻撃の対象にはならないとみなし、セキュリティ投資の必要性を感じていない経営者が少なくないことを裏づける結果となっている。
しかし、先述のように中小・零細企業を取り巻くセキュリティの状況は近年大きく変わってきている。その最大の要因はサプライチェーン攻撃の増加にある。仮に、自社に重要な情報が存在しないとしても、取引先である大企業や行政機関はそうではない。サプライチェーン攻撃は中小・零細企業を経由して、標的とする大企業や行政機関を狙う。中小・零細企業に何かしらの方法で不正に侵入し、最終的な標的である大企業や公的機関に攻撃するための踏み台とするのだ。
もし、自社には漏えいして困るような個人情報は存在しない、という認識を持っているなら、そうした認識を改める必要がある。少なくとも、従業員の住所・氏名、給与情報、口座情報、履歴書ぐらいはどの企業であっても保有しているはずだ。顧客に関する情報も、何らかの形で保有している企業がほとんどだろう。こうした個人情報が流出した際のリスクが中小・零細企業にも迫っている。
2022年4月には、改正個人情報保護法も施行されている。個人の権利保護の強化のため、個人による請求権の範囲が拡大されている。また、今回の改正では事業者への責務が追加されており、個人情報漏えいの際は、本人への通知だけではなく、個人情報保護委員会への報告も義務付けられている。罰則規定も強化されており、個人情報保護への意識を改める時期に来ている。こうした変化もあり、中小・零細企業であっても個人情報流出を防ぐべく、セキュリティ対策が求められる時代となっている。
個人情報流出時に想定される損害額
個人情報流出の事件が発生した際、どれほどの損害が生じるのか。JNSA(NPO日本ネットワークセキュリティ協会)が発表した「インシデント損害額調査レポート」では、個人情報流出における、一人あたりの平均想定賠償額を28,308円としている。このレポートでは、実際に訴訟を起こして損害賠償を請求する人は、被害を受けた人の0.03%と想定されている。仮に100万人規模の個人情報流出事件が生じれば、100万人×0.03%×28,308円=約850万円の損害賠償額となる。
また、管理を受託した個人情報が流出に至った場合には、各種事故対応に関する費用の請求も懸念される。この場合、中小・零細企業であっても、億単位の損害賠償額が請求されることもあり得るのだ。個人情報流出時の損害は、損害賠償以外にも生じ得る。法的な問題に対処する際は、弁護士に委任することになり、弁護士費用が必要となる。また、サイバー攻撃でシステムダウンに追い込まれれば、復旧するまでの損失を被る。
さらに、個人情報保護法の義務違反があれば、最大1億円の罰金の支払いも求められる。ブランドイメージの棄損や取引停止など間接的な損失も計り知れない。中小・零細企業であっても、一度の個人情報流出事件で致命傷になりかねないのだ。持続的な事業継続のためにも、セキュリティ対策に真摯に取り組む必要があるだろう。
個人情報の流出が発覚したらどうすべきか?
先述のインシデント損害額調査レポートでは、個人情報流出などのインシデントが発生した際、どのように対応していくべきかの手順についても解説している。実際にインシデントが発生した際に、慌てず適切な対応ができるよう、あらかじめ目を通しておくのがよいだろう。具体的には、以下のような手順で対策を進めていく必要があるとしている。
1)初動対応および調査
被害が発覚した直後は、被害の拡大を防ぐためにネットワークを遮断し、被害を受けた箇所の特定や影響を受けたサービスの停止、重要な個人情報といった情報の隔離などを行う必要がある。以降の方針を明確にするためにも、被害の全貌が明らかになり次第、速やかに原因の特定を進める。
2)対外的対応(外向きの対応)
個人情報流出など影響範囲の大きな被害が生じた場合には、速やかに情報をオープンにして取引先や関係機関に通知、公表していくことが求められる。個人情報保護委員会に対して迅速に報告を行うとともに、警察にも届け出をする必要がある。中小企業を踏み台にしたサプライチェーン攻撃が発生している状況を踏まえると、取引先への迅速な報告も必要だろう。
3)復旧および再発防止(内向きの対応)
対外的な対応と並行し、システムの復旧と再発防止策を急がねばならない。データの消失や改ざんなどが発生している場合は、バックアップからのデータ復旧作業などが求められる。再発防止策の策定にあたっては、顧客や取引先などステークホルダーの理解が得られるものを明示・実行しなければならない。経営者のトップダウンで、組織的なセキュリティ対策を実行に移す必要がある。
個人情報流出を防ぐためのセキュリティ対策
ここまで述べてきたとおり、個人情報流出が中小・零細企業に与える悪影響は看過できないレベルとなっている。それでは、個人情報流出を防ぐためにはどのような対策が求められるのか。ここでは、基本的なセキュリティ対策を挙げていく。
セキュリティソフトの導入
従業員のパソコンなどの端末にセキュリティソフトをインストールすることは、基本的かつ有効な対策となる。マルウェア対策をはじめ、近年被害が顕著となっているランサムウェアへの対策、あるいは悪意のあるWebサイトへのアクセス遮断など、総合的にセキュリティ機能を提供する。また、盗難や紛失に備えてHDDやSSDなどの内部ストレージを暗号化する機能も搭載しているソフトウェアもある。
通信の監視
外部からのサイバー攻撃による個人情報流出の場合、事前に攻撃者による不審なアクセスが行われるケースもある。こうした兆候を察知できれば、対策を講じておくことで未然に防げる可能性が高まる。そのためにも、ファイアウォールやIDS(Intrusion Detection System:不正侵入検知システム)、ならびにIPS(Intrusion Prevention System:不正侵入防止システム)などのソリューションの導入が有効だ。
ログの取得
個人情報流出の被害事例は、内部不正が要因とされるケースも少なくない。そのため、個人情報の取り扱いに関するログを取得しておく必要があるだろう。パソコンの操作ログや、メールのアーカイブデータを保存・管理しておくことも検討したい。
従業員教育の徹底
個人情報流出の原因として、故意の内部不正もあるが、実際にはヒューマンエラーも少なくない。従業員教育を徹底し、社内ルールや罰則を定め、従業員のセキュリティ意識を高めるように努めたい。個人情報保護の意識を高めて、組織全体のセキュリティを高める必要があるだろう。
取引先におけるセキュリティ対策の確認
自社が適切にセキュリティ対策を講じていた場合でも、取引先のセキュリティ対策が疎かな場合、サプライチェーン攻撃のように、その取引先を発端とした個人情報流出に発展する恐れもある。取引条件に機密保持の条項を付加することはもはや必須とも言えるが、それだけでなく、社内で適切にセキュリティ対策を講じているか常に把握するようにしたい。場合によっては、プライバシーマークやISMSといった認証の取得を取引条件の1つとして明示するのも一考だ。
サプライチェーン全体を考慮したセキュリティ対策へ
企業活動において、個人情報は多かれ少なかれ取り扱わざるを得ないものである。業態によっては個人情報の活用度合いが、企業の競争力に大きく影響する可能性もあるだろう。法改正が行われた背景を踏まえても、個人情報保護法の取り扱いは、より慎重に行うことが社会的な要請となっている。
今後も世の中はより一層、デジタル化が進展していくことになる。そうした時代の流れを踏まえると、極論ではあるが、適切にセキュリティ対策を講じるか、もしくは事業継続を断念するかという選択が迫られているとも言える。個人情報流出時のリスクが大きくなっている状況を前提として、適切なセキュリティ対策を進めておくことが、中小・零細企業においても経営課題の1つとして認識すべき時代となりつつあるのではないだろうか。
