情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年7月27日号
***************************************************************
法改正で求められるサイバー攻撃被害の報告義務化
***************************************************************
個人情報保護委員会は【個人情報の保護に関する法律等の一部を改正する法律】が6月5日の
国会において可決、成立し、6月12日公布されたと発表した。
改正法の施行は一部を除き公布後2年以内、現在ガイドライン等の検討中である。
では具体的にはどのようになるのか・・・
事業者は情報漏えい等が発生した場合で、個人の権利利益を害するおそれがある場合には、
委員会への報告及び本人への通知を義務化される。
更に報告に対する命令違反や報告の虚偽申請、データベースの不正提供があった場合には、
その懲罰刑の金額は【1億円以下の罰金】とされることになった。
では、この法改正で企業はどのような対応を求められるのであろうか。
【情報漏洩が発生した場合】の報告が義務化されるのであるから、自社で保有している個人情報の
数の把握は必須であろう。
ではサイバー攻撃を受けたら、どの程度情報が漏えいするのか・・・?
よく「情報の漏洩は確認されていない」というコメントを見るが、これはあり得ない。何故ならハッカーは
攻撃だけして何もせず終了する意味が全くない。つまり情報は100%流出しているのである。
ハッカーは情報を搾取し、搾取した痕跡を残さず、システムにも影響を与えず管理者にも分からない
ように情報を奪っていくのである。
そして【ダークウェブ】や【中国ブラックマーケット】でその情報が売買され、次なる不正利用などにより
2次被害、3次被害が発生しているのである。
中国ブラックマーケットでは具体的な企業名を挙げて顧客情報、社員情報、クレジットカード情報
更にはマイナンバー情報までが売買されている。売買情報が確認された時点でハッキングされ情報
漏洩しているということなのだ。その数は数千人から数千万人という莫大な数が確認されているの
だが、サイバー攻撃に関するニュースを見ると該当企業関係者は「ハッキングされた事実は確認した
が情報漏洩は確認されていない」とコメントされている。被害が減らないのはこうした理由からだろう。
では現実的にサイバー攻撃はどの程度発生しているのか・・・
2018年KPMG社が企業のサイバーセキュリティに関する実態調査「KPMG サイバーセキュリティ
サーベイ
2018」の結果を見るとサイバー攻撃は3社に1社で発生とある。
翌2019年セキュリティベンダーであるトレンドマイクロ社が、組織を狙ったサイバー攻撃に関する
「国内標的型攻撃分析レポート
2019年版」を発表したが、このレポートでもサイバー攻撃は
3社に1社で発生しているとされている。
2015年にIPAが発表した調査結果では、5社に1社となっていることから見ると、確実にその数は
増加していると言える。
更にサイバー攻撃を受けた3社に1社は重大な被害が発生しているとなっており、その被害額は
トレンドマイクロ社の分析では1社あたり平均2億4000万円、日本ネットワークセキュリティ協会の
調査結果では5億5000万円となっている。
また日本損害保険協会の中小企業向け調査結果では被害を受けた中には1千万円以上の
被害を受けたとする会社が7.4%もある。
被害の大小はあるものの大企業、中小企業は関係なくサイバー攻撃を受け、被害を受けている。
ではこれだけ攻撃を受けているにも関わらず、サイバー攻撃の事実を理解していなければ・・・
攻撃を検知しても漏洩の事実を正確に把握できなければ・・・当然報告にも差異が発生してくる。
後からズルズル情報漏洩数が増え、正確な事実が判明した時には報告と差異が発生し、虚偽
申請と指摘される可能性もある。そうなれば【1億円以下の罰金】が待っているのだ。
サイバー攻撃を受け、情報が漏えいしただけでも被害額は膨大であるが、そこに懲罰が加われば
中小企業なら間違いなく【倒産】に追い込まれる。
このような現実があるのにサイバー攻撃対策をしていない中小企業は3割程存在していて、実施
している会社の中でサイバー攻撃に対するリスク対策を重要視する会社は僅か1.6%に過ぎない。
以前のレポートでも何度か警鐘しているが、【ハッキングされたことをどうやって知るか】という事故の
検知とその正確な内容の把握が、これからは重要な課題となってくるのである。
企業とは営利目的で事業を営む経営体であるが、事業を継続させ利益を生むためには事業の
内容だけでなくリスク管理も必要になり、セキュリティに対するリスク管理もその中に含まれる。
会社が倒産に導かれるリスクがあるのに、対応せず、被害を受けた時に初めて実感する。
まるで今の新型コロナウイルスの流行そのもののようだ。
新型コロナウイルスに対しては恐怖を感じるのに、サイバー攻撃に対しては脅威を感じないのは
なぜだろう。
今回の法改正により改めて考えさせられることも多い。
各企業、団体に於いて今一度セキュリティ対策とサイバー攻撃のリスクに関して考え直してみる
必要があるのではないだろうか。
---------------------------------------------------------------------------------
<参考URL>
個人情報保護委員会:2020/6/12
個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
日本経済新聞:2019/8/9
標的型攻撃、3社に1社で侵入の危険 トレンドマイクロ
https://www.nikkei.com/article/DGXMZO48430040Z00C19A8000000/
日本損害保険協会:2020/1/28
「中小企業の経営者のサイバーリスク意識調査2019」を発表
https://www.sonpo.or.jp/news/release/2019/2001_02.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved