重罰化した改正個人情報保護法
─ 安全管理措置に必要な対策とは? ─
2022年4月、『改正個人情報保護法』が施行され、大手企業だけでなく中小企業についても対応が必要となった。
navigate_next 参考:なにが変わる?「改正個人情報保護法」
個人情報の漏えいは消費者にとって重大な問題であり、個人でも輸入が可能になった現代に法整備が進むことは、国内企業への安心感や信頼感、ひいては購買理由に繋がる要素と考えられる。
漏えい時の処罰が重くなったことは既知の通りだが、一方で “漏えいさせない” 対策については各企業に一任されている部分も見受けられる。
また、同法案の中では時代に合わせて3年ごとの見直し・改定が行われることも明記されているため、厳重かつ柔軟な対策を時代に沿って選択する必要があると言えるだろう。
IPA(独立行政法人情報処理推進機構)による調査(図1)では “「誤操作、誤認等」が21.2%と前回調査に比べ約半減。その一方で「中途退職者」による漏えいは前回より増加し36.3%と最多” としており、企業には意図的な情報漏えいへの対策が求められている。
図1. 営業秘密の漏えいルート(IPA「企業における営業秘密管理に関する実態調査2020」報告書P28より)
また、情報漏えいを認識した際に実施したこと(図2)では”「行為者(と疑われる者)に対するヒアリング」の割合や「ログ等の確認」が高く、従業員300名以下の企業では「何もしなかった」割合が高い“としており、人的および物的な情報収集が優先されているものの、なにをするべきか把握できていない中小企業も少なくないことが分かる。
図2. 漏えいを認識した際に実施したこと(IPA「企業における営業秘密管理に関する実態調査2020」報告書P25より)
改めて『改正個人情報保護法』に戻ると、企業が個人情報の漏えいを防ぐための対処方法として『8章:講ずべき安全管理措置の内容』が定められている。
ではどのように遵守するべきなのか。対応方法について企業の裁量が大きい第3節『組織的安全管理措置』の5項目を例に、ポイントを押さえながら解説していく。
- 組織体制の整備
- 個人データの取扱いに係る規律に則った運用
- 個人データの取扱状況を確認する手段の整備
- 漏えい等の事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
これらは義務であるために遵守しなければ罰則が重くなる一方、遵守することで個人情報の漏えいリスクに対して有効に作用する。
組織を形成するプロセスとして5段階に分けた場合、以下のような順が望ましいだろう。
目的の決定(取扱状況の把握及び安全管理措置の見直し)
↓
手段の選定(個人データの取扱状況を確認する手段の整備)
↓
運用の確立(個人データの取扱いに係る規律に則った運用)
↓
有事の体制(漏えい等の事案に対応する体制の整備)
↓
組織の形成(組織体制の整備)
ここでの目的とは当然、個人情報の漏えいを防ぐことであり、改正個人情報保護法を遵守することだ。
次に(個人データの)取扱状況を確認する手段の整備では、利用目的やアクセス権を有する者等を明確化することが推奨されている。更に加えてログ管理ツールを用いたデータの取り扱い状況可視化も有効と言える。
また、(個人データの取扱いに係る)規律に従った運用を確保するための手法として利用・出力状況や情報システムの利用状況等を記録・検証することが推奨されており、その手法の一例としてログ管理が挙げられている。
続く(漏えい等の事案に対応する)体制の整備では、事実関係の調査及び原因の究明や個人情報保護委員会等への報告などが定められており、個人情報保護委員会では聞き込み調査やログの解析が有用としている。
最後となる組織の形成段階では、事案発生時の報告連絡体制の確立や責任の明確化などが例示されている。事案発生または兆候の把握手段としては先のIPAによる調査にもあった通りログの管理に有用性があることは確かだ。
これら5項目のうち、目的以外の4項目を遵守する上でログ管理が有効であることに気付いただろうか。
このように、改正個人情報保護法に則った、情報漏えいをしない・させない、即ち安全管理措置の行き届いた組織を作るためにはログ管理が重要といえる。
おすすめのログ管理ツール
では、その重要といえるログ管理ツールには一体なにを選べばよいのか。
安全管理措置を対策する上でログ管理ツールに求められる機能は主に以下の5つが挙げられる。
- ファイルログ(読み込み・書き込み)
- サーバーへのアクセスログ
- Eメール・USB等への持ち出しに関するログ
- 不自然な操作を検知するアラート
- 定期監査および調査のためのビューアー
- 3年ごとの改定や技術の進歩に対応できる柔軟性や安定性
これらを満たすツールとして今回おすすめするのが『MylogStar』シリーズだ。
『MylogStar』シリーズはアプリケーションの動作(動作の表面)ではなくOSの挙動(動作の根幹)を基にログを管理するため、業界屈指のログ収集力を誇ることが特徴だ。
ファイルログやアクセスログはもちろん、EメールやUSB等での持ち出しや、製品によっては収集が困難とされるシークレットモードでのブラウザログにも対応している。
例えば、ブラウザをシークレットウィンドウで動作させた場合、アプリケーションの動作上はログが残らず検知・調査することができないが、OSの挙動であればログを取得することができる。
またその特性上、ゼロトラストなどの技術革新にも強く、アプリケーションやネットワークなど環境の影響を受けずに安定してログを取得することが可能だ。オフラインサーバーやシンクライアントにも対応しており、柔軟性も高いと言える。
そして、収集したこれらのログを活用できるアラート機能も充実している。
特定のファイルに対してアクセスがあった場合に一律で通知をすることはもとより、早朝や深夜など人目に付きにくい時間のアクセスのみに限る等、複数の条件に一致した場合のみ通知することで効果的に不正行為を防ぐこともできる。
notification_importantアラート分析
さらに、アラートビューやログの分析機能による高い可読性も有しているため、定期監査や有事の際の調査に掛かる負担も最小限に抑えることが可能だ。
現在、30日間の無料トライアルを実施しているため、改正個人情報保護法に伴ってこれからセキュリティ対策を強化する場合や、対策方法の入れ替えを検討している場合は是非体験して企業価値の向上に繋げていただければと思う。
【関連記事】なにが変わる?「改正個人情報保護法」
2022年4月1日より施行された「改正個人情報保護法」。具体的には何が変わってどのような影響があるのか…
重要なポイントをQ&A形式で解説します!
【関連記事】従業員のデータ複製&持ち出し、どう防ぐ?
昨今、リモートワークや業務委託の需要拡大に伴い、業務データや個人情報の取り扱いに関する紛失・流出の事件が増え、ユーザーからの関心も高まっています。
参考情報
改正個人情報保護法:https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/
IPAによる調査:https://www.ipa.go.jp/security/fy2020/reports/ts_kanri/index.html
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!