世界と比較しても“優しい”日本の個人情報保護法
第1回ではセキュリティの被害件数の推移について紹介しましたが、ここに表れている数値は、氷山の一角といえます。というのも、日本における個人情報の漏洩に関する報告義務について、2021年現時点では「努力義務」となっているからです。もし、正直に報告して問題が報道されてしまうと信頼性が下がるなど、企業にとってはレピュテーションリスクになります。そうであるならば、報告せずに処理してしまおうと考える企業があるのも頷けるでしょう。
米国各州には、企業や組織内で顧客データの盗難や紛失が発生した場合、その都度、政府機関に報告しなくてはいけないと法律によって定められています。また、シンガポールやヨーロッパでは、そういった報告を怠った場合、法的に約1千万円以上の罰金刑だけでなく、被害規模によっては、年間売上の数%といった形で罰金を支払うこともあります。しかし、日本の個人情報保護法(APPI)の下では、情報漏洩を報告することに対して最善の努力をする義務のみとなっています。
SecureAge株式会社 社長 ジェリー・レイ(Jerry Ray)氏
日本でも、個人情報保護に関する法律が一部改正されることが決まり、2022年4月からは報告が義務化されることになります。ただ、虚偽報告等の報告義務違反を犯した場合でも罰金は50万円以下となっており、他の国に比べて厳罰化されてはいません。また、義務化されるのは、個人の権利利益を害する恐れが大きい情報漏洩などに限定されています[※1]。
そのため、法律改正後であっても表に出ないセキュリティ被害も存在することになるでしょう。そして、数あるセキュリティ被害の中で、今特に注意するべき攻撃が「ランサムウェア」です。
[※1]参考:個人情報保護委員会「令和2年 改正個人情報保護法について」
