今回はサイバー攻撃に絡む危機管理と情報開示を取り上げます。テーマは深刻な脅威になっているランサムウェア攻撃と個人情報保護法の改正に伴って来年(2022年)4月から当局への報告や漏洩個人への通知が義務化される個人情報の漏洩問題です。報告が義務化される漏洩個人情報の範囲についてはまだ細目が決まっていませんが、およそ「1,000件以上か、個人の権利利益を害するおそれが大きい場合」が対象になるとみられます。
よく「顧客情報が流出していない」ことを免罪符のように捉える企業がありましたが、個人情報には顧客とか自社とかの区別はありません。自社の現従業員や元従業員の情報も企業が保護すべき対象です。アルバイトなど非正規従業員の「権利利益」に関する情報も保有していれば入りますので直ぐに1,000件には達するでしょう。
この「権利利益を害する恐れが大きい」情報の範囲は、個人情報保護委員会規則やそのQ&Aで例示が示されることになります。法人への罰則規定もあり、個人情報の扱いにはますます神経を使う必要が出てきます。こうした個人情報保護の法規制の厳格化はEUが先行しており、これに日本も整合性を取る必要があったのだと思います。
この個人情報保護強化の流れの中で急増しているランサムウェア攻撃への現場対応を考えるのが今回のポイントです。
この記事は会員登録で続きをご覧いただけます
今すぐ会員登録 ログイン