EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

日本の中小企業が一番危ない ジェリー・レイ氏が指摘するランサムウェアの脅威 【第2回】リスクを感じていない企業に襲いかかるランサムウェアの脅威

edited by Security Online   2021/08/20 08:00

 日本企業におけるセキュリティに関するデジタルリテラシーは、まだまだ低いと言わざるを得ず、従業員のセキュリティ意識を上げることで事故や被害を防げると思っている企業も少なくありません。ハッカーの仕掛ける攻撃は日々巧妙化しており、人間の注意力だけでは防ぐことが難しい段階に達しています。そこで今回は、ランサムウェアの攻撃や被害について解説したいと思います。

世界と比較しても“優しい”日本の個人情報保護法

 第1回ではセキュリティの被害件数の推移について紹介しましたが、ここに表れている数値は、氷山の一角といえます。というのも、日本における個人情報の漏洩に関する報告義務について、2021年現時点では「努力義務」となっているからです。もし、正直に報告して問題が報道されてしまうと信頼性が下がるなど、企業にとってはレピュテーションリスクになります。そうであるならば、報告せずに処理してしまおうと考える企業があるのも頷けるでしょう。

 米国各州には、企業や組織内で顧客データの盗難や紛失が発生した場合、その都度、政府機関に報告しなくてはいけないと法律によって定められています。また、シンガポールやヨーロッパでは、そういった報告を怠った場合、法的に約1千万円以上の罰金刑だけでなく、被害規模によっては、年間売上の数%といった形で罰金を支払うこともあります。しかし、日本の個人情報保護法(APPI)の下では、情報漏洩を報告することに対して最善の努力をする義務のみとなっています。

SecureAge Technology 最高執行責任者(COO)兼 SecureAge株式会社 社長 ジェリー・レイ(Jerry Ray)氏
SecureAge Technology 最高執行責任者(COO)兼
SecureAge株式会社 社長 ジェリー・レイ(Jerry Ray)氏

 日本でも、個人情報保護に関する法律が一部改正されることが決まり、2022年4月からは報告が義務化されることになります。ただ、虚偽報告等の報告義務違反を犯した場合でも罰金は50万円以下となっており、他の国に比べて厳罰化されてはいません。また、義務化されるのは、個人の権利利益を害する恐れが大きい情報漏洩などに限定されています[※1]

 そのため、法律改正後であっても表に出ないセキュリティ被害も存在することになるでしょう。そして、数あるセキュリティ被害の中で、今特に注意するべき攻撃が「ランサムウェア」です。

 [※1]参考:個人情報保護委員会「令和2年 改正個人情報保護法について

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


関連リンク

著者プロフィール

  • ジェリー・レイ(Jerry Ray)(ジェリー・レイ)

    SecureAge Technology 最高執行責任者(COO) 兼 SecureAge 株式会社 社長   1991年、コーネル大学でオペレーションズリサーチ工学の学位を取得。 その後、十数年にわたり日本やシンガポールを拠点に、米国系エンタープライズ・ソフトウェア企業や複数の米国系サービス企業の国際ビジネス開発コンサルタントとして活躍。前職の世界的暗号化通信企業サイレントサークル社では、アジア太平洋地域担当上級副社長を務めている。 国際サイバーセキュリティの世界的オピニオンリーダーとしても活躍しており、ウォール・ストリート・ジャーナル、Wired、ComputerWeekly、Channel Futures Online等主要メディアの取材対応や、専門家としてコメントも発信。堪能な日本語を生かし、日本語での取材やセミナーへの登壇も行う。

バックナンバー

連載:セキュリティのデジタルリテラシーを高めよう
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5