改正個人情報保護法の施行で注意すべきポイント
日本人の働き方に大きな変化が訪れている。働き方改革の波および、在宅勤務やコミュニケーションツールの拡張等が実現したことで、従業員の視点からは自由度の拡大および利便性の向上が図られることとなった。
しかしその一方で、システムの管理者は新たな課題と向き合うこととなった。これまでのシステムに何を加えればよいのか、さらにシステムを改善することで、どの程度のコストがかかり、安心・安全を担保できるのかというセキュリティ面の改善が必要となったのだ。
いかにして従業員の利便性を保ちつつ、セキュリティを高めるか。「利便性とセキュリティ、このバランスが重要なポイントと捉えられてきたのが昨今の流れ」と松下氏は指摘する。さらに、もうひとつの重要なトピックスとして、2022年4月に改正・施行された「個人情報保護法」を挙げる。改正後の個人情報保護法における重要なポイントは次の6つだという。
- 個人の権利強化
- 事業者の責務強化
- 事業者の自主的な取り組みを促進
- データ利活用時の義務
- 罰則の強化
- 国外利用時の強化
なかでもシステム管理者が注目すべきは「事業者の責務強化」と松下氏は強調する。改正後の個人情報保護法では、情報の漏洩が発生したときの報告が、これまで努力義務だったものが義務化された。
アルプス システム インテグレーション
マーケティング部 営業企画課 課長 松下 綾子氏
「何か起こってしまった際に報告をする手順やログの管理がしっかりなされているか。ここがポイントになると考えています」(松下氏)。
そのほかにも、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ 10大脅威」も紹介。なかでも注目したいものが次の8つで、どれもが情報漏洩をともなう。「注意しなくてはならないリスクポイントが増えていることを、しっかりと把握してください」と松下氏は警鐘を鳴らした。
- ランサムウェアによる被害
- 標的型攻撃による機密情報の窃取
- サプライチェーンの弱点を悪用した攻撃
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 内部不正による情報漏洩
- 脆弱性対策情報の公開にともなう悪用増加
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 不注意による情報漏洩等の被害
情報漏洩に備えて取り組むふたつの課題
リスクポイントが増えている現状を踏まえて、松下氏はふたつの課題として「『報告』への準備」「『防御』の強化」を挙げた。
まずひとつ目の「『報告』への準備」についてだ。改正後の個人情報保護法では、情報漏洩などが発生したときに報告義務が追加された。松下氏は「たとえば、どんな項目が報告対象か。それは、どんなタイミングで報告しなければいけないのか、把握しているでしょうか? そして、その準備はできているのでしょうか?」と問いかける。
情報漏洩が発生した場合、速報値や確報値で報告する内容が変わる。そしてこういった報告をするには、インシデント時だけでなく、平時はどうなっていて、インシデント時にはこのようになった、という時系列の報告が必要になる。こういった報告をするための準備ができているのかが、重要になるという。
ふたつ目の課題は「『防御』の強化」である。もし情報漏洩などの事態が起こると、大きな被害を受けるため、しっかりとした防御が必要となる。情報漏洩が起こったときは、損害賠償請求を受けたり、迷惑をかけた取引先企業との取引が停止してしまったりすることもある。また最近では、新卒採用や人材育成にも影響があると言われている。信頼性の落ちた企業には、優秀な新卒学生の応募がないこともあるという。
インシデントが発生したときの、一件あたり平均想定損害賠償額は6億3,767万円にもなるという数値が、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)から発表されている。JNSAは『インシデント損害額調査レポート2021』を表しており、算出基準も掲載されているため、「ぜひ一読をおすすめしたい」と松下氏は語った。
ログとアクセス履歴は通常時から管理が必要
では、具体的に課題に対してどのように対応すればいいのだろうか。松下氏は情報漏洩が発生したときの報告義務が、個人情報保護法に追加されたことへの考慮点として、ログとアクセス履歴の管理といった証跡管理と追跡を挙げた。
「ここで重要なのは、インシデントが起こったときだけの把握ではなくて、通常時から把握しておくことです」と松下氏は語り、「『報告』への準備」の具体的な監視ポイントとして、次の3つを挙げた。
- USBメモリへのファイル書き出し
- ファイルのダウンロード
- Webメールやオンラインストレージへのファイルアップロード
そして、これらの監視ポイントを把握するツールとして、松下氏はSaaS サービスの「Sumo Logic」を提案する。Sumo Logicを使用することで、ログを暗号化してからインターネット上で管理が可能だ。しかも150種類を越える標準のテンプレートが用意されており、様々な製品のログを大きな手間をかけることなく管理できるという。
また無料で利用できる機能として、脅威インテリジェンスといわれているC&C系のログと、Sumo Logicを利用している企業のログを突合できるようになっている。これにより、リスクを抽出することが可能になり、さらに大容量のログを長期間にわたって保存することもできる。
保護をしすぎない、実効性の高い管理が重要
「『防御』の強化」によって情報漏洩リスクを低減し、損失を最小限にするための対策として松下氏は「データを外部に送信するときだけでなく、常時しっかりと保護しておくことが重要です」と話した。ただし、あまりにも保護をしすぎると従業員が抜け道を探して、被害を拡大するポイントになることもあるという。つまり、実効性の高い管理が重要になるのだ。
現在、ファイルを使用する場所はパソコンだけでなく、ファイルサーバーやインターネット、他社のデバイスなど利用シーンはとても広がっている。こういったなかで、いかにして「『防御』の強化」を図っていけばよいのか。松下氏は次の5つを、防御を考慮すべきポイントとして挙げた。
- 日頃から常にデータ保護
- 従業員の業務はいつものまま
- 個人情報を含むデータを自動検出
- 個人情報を含むデータを自動暗号化
- 暗号化ファイルのライフサイクルを記録
この5つの点を一括管理できるサービスとして、松下氏は、アルプス システム インテグレーションが開発したInterSafe FileProtectionとオプションのInterSafe PISを挙げた。
「個人情報のデータファイルがどこにあるかわからない」という状況に対しては、InterSafe PISが検索対象エリアのファイルの中身を自動的にチェックし、個人情報が含まれているファイルを検出する。そういった個人情報のデータファイルをリスト化し、InterSafe FileProtectionが自動的に暗号化を行う。
しかもこれらは、すべて自動的に行われる。つまり、従業員は何も意識することなく使うことができるのだ。さらにこれらのファイルは、いつ、誰が、どこで、何をしたか、ということが、あとからもわかるようになっている。
暗号化だけでなくアクセス権を付与できるようになっており、閲覧権限、編集権限のルールをあらかじめ管理者が設定可能。つまり社内の情報管理に役立てることもできるのだ。InterSafe FileProtectionにはSDKもあり、社内ポータルに組み込んだりAWSのファイルサーバーへ組み込んだりして活用することもできる。これにより各パソコンに保存されている個人情報データを検出し、社内ポータルやファイルサーバーへ集めて暗号化した上で、一括管理することが可能になる。
条件を満たせば報告の省略が可能になる
InterSafe FileProtectionでは、AESと呼ばれる暗号化方式のうち、256ビット長の暗号鍵を使用する方式である「AES256」を用いた高度な暗号化に対応している。ファイルには鍵マークがついており、暗号化されていることがわかるようになっているが、閲覧権限を付与されたユーザーは暗号化されたファイルを、まったく意識することなく使えるようになっている。
暗号化されていたとしても、通常のExcelやWordのファイルと同じようにダブルクリックで開くことが可能で、コンテンツ検索やウイルスチェックも問題なく行える。暗号化のシステムでよくある、ファイルの拡張子が変更されることもない。ユーザーは他のシステムと連携していることを意識せずに、ファイルを扱うことが可能になっているのだ。
またInterSafe FileProtectionは、オフラインログインも可能だ。そのため、Wi-Fiが使えない、サーバーが停止した、といったときでも、管理者があらかじめオフラインで使える期間を設定しておくことで、インターネットに接続していない状態でもファイルを扱えるようになっている。
松下氏はInterSafe FileProtectionを使用するメリットとして「データが漏洩したときの報告を省略できます」と話す。これはInterSafe FileProtectionであれば、報告の省略が可能な条件を満たせるからだ。
そして、InterSafe FileProtectionとInterSafe PISは、InterSafe ILPシリーズのひとつである。そのため、セキュリティのポイントとして機能を強化したいと考えたときに、製品として追加することが可能だ。「製品の追加をすると、それぞれが管理コンソールのログのなかで管理することができるようになっていて、日付や対象ログで検出できるようになっています」と松下氏はメリットを強調した。
改正され、2022年4月から施行された個人情報保護法へ対応するためには、業務手順やアクセス権など、様々なことを見直す必要がある。しかし法改正を、「責任の強化や変革への投資のチャンスと考え、この機会を活用してほしい」と松下氏は語る。そして個人情報や機密情報のデータは「利用者の利便性への配慮と、利用者への意識向上の啓発が重要です」と強調し、講演を締めくくった。
