320 - [´・ω・`] tor5e3.digitale-gesellschaft.ch 2022/11/28(月) 18:55:21.22 ID:+lEsouC/0
とりとり
個人情報の漏洩、4〜9月3倍に 中小企業に重い報告義務: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC10DRW0Q2A111C2000000/
https://archive.md/GG66R
中小企業へのサイバー攻撃が増加し、対応の負担が増している
政府の個人情報保護委員会に報告された個人情報の漏洩事案は2022年4〜9月、前年同期の3倍にのぼった。4月に法改正で重大な事案の報告を義務化したことが背景にある。中小企業へのサイバー攻撃が急増する中、報告のための調査費用は数百万円かかることもあり負担が重い。制度の知名度も低いため、違法状態が放置されているケースもある。
個情委は11月に2022年度上半期の活動実績をまとめ、個人情報漏洩事件の報告が1587件にのぼったと公表した。前年同期は517件だった。急増の原因は今年4月の個人情報保護法の改正だ。サイバー攻撃など不正行為による個人情報の窃取や、管理ミスが原因の場合でも、1000人分以上の情報が流出したケースなどで、個情委への報告が義務化された。
漏洩の発覚からおおむね3〜5日で速報を出し、30〜60日以内に原因などを調査した上で詳細を報告する必要がある。違反者には勧告や措置命令を出し、なお違反が続く場合には1年以下の懲役又は100万円以下の罰金となる。4〜9月で勧告・措置命令はともに0件だった。実際には違法状態が放置されている例がある。
東京都内でコンサルティングの事務所を経営する男性は今年8月、顧客情報を含む資料がパソコンから消失していたことに気付いた。警察に相談した結果、サイバー攻撃を受けた可能性が高い。「最近フィッシングメールが大量に送られてくるが、詳しい原因はわからない」という。
被害の範囲や原因を調べる「フォレンジック調査」を担う業者にはパソコン1台の調査だけでも50万円以上の費用がかかると言われ、ちゅうちょしているうちに報告期間が過ぎてしまった。年間売上高約800万円の事務所にとって「すぐに出せる金額ではない」と男性は困惑する。
感染力の強さから「最恐」ウイルスと呼ばれる「エモテット」が年初から国内の中小で急拡大している。帝国データバンクが中小を中心とした約1200社に実施した調査では、今年度上半期にサイバー攻撃を受けた企業は17%に上る。被害企業の78%は攻撃後に一切費用を支出しておらず、フォレンジック調査をしていない可能性がある。
https://archive.md/FlI1O
企業のセキュリティー対策に詳しい山岡裕明弁護士は「フォレンジック費用は数百万円に上ることがあり、中小が調査費用を捻出するのは容易ではない」と指摘する。
中小のサイバー攻撃対策を支援している大阪商工会議所経営情報センターの古川佳和次長は「攻撃対応の相談をしにきた中小のほぼ全てがそもそも法改正を認識していない」と語る。報告義務について伝えても「情報が漏洩した顧客への対応を優先したい」と報告には後ろ向きなケースが多いという。
英米では政府の専門機関がそれぞれ報告の窓口となり、復旧や再発防止のための支援を提供している。日本では同様の機能をボランティア活動から始まった一般社団法人JPCERTコーディネーションセンター(東京・中央)が担っている。
サイバーディフェンス研究所の名和利男専務理事は「民間組織による努力だけでは24時間の対応ができないなど限界がある」と指摘する。しかも、個情委とJPCERTとの情報連携は一部の事案に限られるため、被害企業が助言を受けるには原則両方に報告をしなければいけない。業種によっては監督省庁や内閣サイバーセキュリティセンターからも報告を求められるため、報告の負担はさらに重くなる。
個情委の担当者は「まずは各地の商工会などと連携し、報告義務の意義の周知徹底を図っていく」としている。制度の周知徹底と合わせ、中小企業をサポートする仕組みづくりが欠かせない。(寺岡篤志)