改正個人情報保護法の施行で注意すべきポイント
日本人の働き方に大きな変化が訪れている。働き方改革の波および、在宅勤務やコミュニケーションツールの拡張等が実現したことで、従業員の視点からは自由度の拡大および利便性の向上が図られることとなった。
しかしその一方で、システムの管理者は新たな課題と向き合うこととなった。これまでのシステムに何を加えればよいのか、さらにシステムを改善することで、どの程度のコストがかかり、安心・安全を担保できるのかというセキュリティ面の改善が必要となったのだ。
いかにして従業員の利便性を保ちつつ、セキュリティを高めるか。「利便性とセキュリティ、このバランスが重要なポイントと捉えられてきたのが昨今の流れ」と松下氏は指摘する。さらに、もうひとつの重要なトピックスとして、2022年4月に改正・施行された「個人情報保護法」を挙げる。改正後の個人情報保護法における重要なポイントは次の6つだという。
- 個人の権利強化
- 事業者の責務強化
- 事業者の自主的な取り組みを促進
- データ利活用時の義務
- 罰則の強化
- 国外利用時の強化
なかでもシステム管理者が注目すべきは「事業者の責務強化」と松下氏は強調する。改正後の個人情報保護法では、情報の漏洩が発生したときの報告が、これまで努力義務だったものが義務化された。
アルプス システム インテグレーション
マーケティング部 営業企画課 課長 松下 綾子氏
「何か起こってしまった際に報告をする手順やログの管理がしっかりなされているか。ここがポイントになると考えています」(松下氏)。
そのほかにも、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ 10大脅威」も紹介。なかでも注目したいものが次の8つで、どれもが情報漏洩をともなう。「注意しなくてはならないリスクポイントが増えていることを、しっかりと把握してください」と松下氏は警鐘を鳴らした。
- ランサムウェアによる被害
- 標的型攻撃による機密情報の窃取
- サプライチェーンの弱点を悪用した攻撃
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 内部不正による情報漏洩
- 脆弱性対策情報の公開にともなう悪用増加
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 不注意による情報漏洩等の被害
