日本企業におけるセキュリティに関するデジタルリテラシーは、まだまだ低いと言わざるを得ず、従業員のセキュリティ意識を上げることで事故や被害を防げると思っている企業も少なくありません。ハッカーの仕掛ける攻撃は日々巧妙化しており、人間の注意力だけでは防ぐことが難しい段階に達しています。そこで今回は、ランサムウェアの攻撃や被害について解説したいと思います。
世界と比較しても“優しい”日本の個人情報保護法
第1回ではセキュリティの被害件数の推移について紹介しましたが、ここに表れている数値は、氷山の一角といえます。というのも、日本における個人情報の漏洩に関する報告義務について、2021年現時点では「努力義務」となっているからです。もし、正直に報告して問題が報道されてしまうと信頼性が下がるなど、企業にとってはレピュテーションリスクになります。そうであるならば、報告せずに処理してしまおうと考える企業があるのも頷けるでしょう。
米国各州には、企業や組織内で顧客データの盗難や紛失が発生した場合、その都度、政府機関に報告しなくてはいけないと法律によって定められています。また、シンガポールやヨーロッパでは、そういった報告を怠った場合、法的に約1千万円以上の罰金刑だけでなく、被害規模によっては、年間売上の数%といった形で罰金を支払うこともあります。しかし、日本の個人情報保護法(APPI)の下では、情報漏洩を報告することに対して最善の努力をする義務のみとなっています。
SecureAge株式会社 社長 ジェリー・レイ(Jerry Ray)氏
日本でも、個人情報保護に関する法律が一部改正されることが決まり、2022年4月からは報告が義務化されることになります。ただ、虚偽報告等の報告義務違反を犯した場合でも罰金は50万円以下となっており、他の国に比べて厳罰化されてはいません。また、義務化されるのは、個人の権利利益を害する恐れが大きい情報漏洩などに限定されています[※1]。
そのため、法律改正後であっても表に出ないセキュリティ被害も存在することになるでしょう。そして、数あるセキュリティ被害の中で、今特に注意するべき攻撃が「ランサムウェア」です。
[※1]参考:個人情報保護委員会「令和2年 改正個人情報保護法について」
この記事は参考になりましたか?
- セキュリティのデジタルリテラシーを高めよう連載記事一覧
-
- 「Rely on tool, not people」日本企業が再考すべきセキュリティの在り...
- 「アンチウイルスソフトがあるから大丈夫」は大きな間違い 今必要な3つの対策法をジェリー・レ...
- 日本の中小企業が一番危ない ジェリー・レイ氏が指摘するランサムウェアの脅威
- この記事の著者
-
ジェリー・レイ(Jerry Ray)(ジェリー・レイ)
SecureAge Technology 最高執行責任者(COO) 兼 SecureAge 株式会社 社長 1991年、コーネル大学でオペレーションズリサーチ工学の学位を取得。 その後、十数年にわたり日本やシンガポールを拠点に、米国系エンタープライズ・ソフトウェア企業や複数の...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
