情報漏洩に備えて取り組むふたつの課題
リスクポイントが増えている現状を踏まえて、松下氏はふたつの課題として「『報告』への準備」「『防御』の強化」を挙げた。
まずひとつ目の「『報告』への準備」についてだ。改正後の個人情報保護法では、情報漏洩などが発生したときに報告義務が追加された。松下氏は「たとえば、どんな項目が報告対象か。それは、どんなタイミングで報告しなければいけないのか、把握しているでしょうか? そして、その準備はできているのでしょうか?」と問いかける。
情報漏洩が発生した場合、速報値や確報値で報告する内容が変わる。そしてこういった報告をするには、インシデント時だけでなく、平時はどうなっていて、インシデント時にはこのようになった、という時系列の報告が必要になる。こういった報告をするための準備ができているのかが、重要になるという。
ふたつ目の課題は「『防御』の強化」である。もし情報漏洩などの事態が起こると、大きな被害を受けるため、しっかりとした防御が必要となる。情報漏洩が起こったときは、損害賠償請求を受けたり、迷惑をかけた取引先企業との取引が停止してしまったりすることもある。また最近では、新卒採用や人材育成にも影響があると言われている。信頼性の落ちた企業には、優秀な新卒学生の応募がないこともあるという。
インシデントが発生したときの、一件あたり平均想定損害賠償額は6億3,767万円にもなるという数値が、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)から発表されている。JNSAは『インシデント損害額調査レポート2021』を表しており、算出基準も掲載されているため、「ぜひ一読をおすすめしたい」と松下氏は語った。
