そろそろ本気で経営陣の安全管理措置と善管注意義務を考えませんか
今日の事業経営は、ITと完全無縁でいることは難しくなってきております。
それは、昨年法改正された、個人情報保護法(注1)や番号法(注2)をといった社会根幹に関わる法令や、関連するガイドライン、Q&A(注3)等を見ても明らかなように、ITを強く意識したものになってきていることに加え、わが国自体が、2020年に向け、
「キャッシュレス社会」(注4)
に向けて動き出しているという背景もあります。
そもそもITシステムは、人間が有形無形の情報資産の管理を楽に行うことができるよう、利便性を追求する中で進化してきたものです。
当然ながら、対象となる情報資産はすぐに利活用できるような形で管理されています。
よって、そこに不正アクセス等があればひとたまりもないのは、誰が考えても明らかなことです。
これまで、何度も繰り返される個人情報漏えい等の都度、
「想定外」
「違和感は無かった」
「手口が巧妙だった」
「やむを得なかった」
「被害発生していないらしい」
等々といった、コメントが毎回判で押したように公表されます。
漏えいした情報単体で、その対象者に大きな被害が出ることもあるでしょう。
その他の情報と組み合わせることで犯罪が発生することもあるでしょう。
しかし、そもそもそうした情報漏えいをさせないようにする義務が、そうした情報を保有する組織の経営陣にはあります。
すでに破られた事実があるセキュリティ手法や、それと同様な手段を漫然と採用しているだけで、本当に経営責任を果たしていると言えるでしょうか。
経済産業省の個人情報保護法ガイドライン(注5)では、不正取得に対する刑事罰の例なので漏えいとは少々異なりますが、不正競争防止法の罰則規定を援用し、重い罰則が科せられ得ることが明記されており、個人情報に関する罰則でも、このような例があることをご理解いただければと存じます。 さて、経営陣は、経営陣としての善管注意義務があります。
この義務違反に関しては、例え退任してもその責任追及は民事訴訟の対象としてつきまといます。
「サイバーセキュリティ経営ガイドライン」
には、経営陣が積極的に関与すべき経営課題の一つに情報セキュリティがあることが、改めて明記され、市場周知が始まっており、こうした社会動向に敏感に反応し適切な対処を組織全体に反映させることで、万が一の漏えい等の事故発生時にも、組織として最善の対策を講じていたと、経営陣として外部説明できるようになります。
参考:
サイバーセキュリティ経営ガイドライン
Ver 1.0
経済産業省
独立行政法人 情報処理推進機構
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf
現在弊社も参画する秘密分散法コンソーシアムが技術標準化を推進(注6)している、秘密分散技術(電子割符)には、こうした法令対象の電子情報に対する根本的な漏えいリスクを最小化できる特性があります。
端的に表現すると、単体の割符ファイルのみが漏えいした際には、その割符ファイル単体で評価すれば、個人情報保護法の個人情報の定義や、番号法の特定個人情報の定義から除外されていることを確認してきています。
すでに暗号化等のセキュリティを講じている場合でも、その暗号化データを割符化できますし、クラウドに預けている場合でも、クラウドにデータを移送する前に割符化することで、移送経路やクラウド等での潜在的なリスク等に対策を打てます。
訴訟リスクを最小化できる(注7)。
例えば番号法に関連する場合でも、民間事業者が適切に組織として秘密分散技術を利活用し、そこで生成された割符ファイルの運用管理も適切に行っていれば、仮に主務大臣報告をするとした場合でも、
「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」に該当しないレベルである旨の報告(注8)となります。
尚、行政機関等の場合には、
行政機関における特定個人情報の漏えい事案等が発生した場合の対応について
平成27年9月28日(平成27年12月25日改正)
特定個人情報保護委員会
http://www.ppc.go.jp/files/pdf/271225_rouei_taiou.pdf
記載のとおりで、
漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には然るべき対処をしなければなりませんので、情報漏洩といえる事象に至っていなくても、報告することにはなります。
但し、
(参考)規則に規定する重大事態
実際には特定個人情報そのものと定義される情報が流出や滅失、毀損することを想定していますが、割符ファイル単体が流出等した場合には、そもそも定義から除外されていますので、報告としては、
確かに組織内では特定個人情報に復元しうる割符ファイルが外部流出しましたが、秘密分散技術(電子割符)を適切に用いた安全管理措置を実施していたため、流出した割符ファイル単体からは特定個人情報自体が出てきませんので、今般の不正アクセスによる割符ファイル流出事案においては、被害は最小化(事実上発生しません)されています。
三 個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
という事態にはなりません。
という趣旨の報告を行うことになります。
更に、不正アクセス等があった後に割符の割りなおしをして上書き保存をしてしまえば、流出等した割符と組織内の割符は結合できなくなってしまいますので、本当に外部に出た割符ファイルは「ゴミ」になります。
経営陣の皆さん、そろそろ真面目に考え実践しませんか。
秘密分散法コンソーシアムが標準化を進めている、法令上も有意義な適切な秘密分散技術(電子割符)を用いた、抜本的な安全性確保を。
参考:GFI WEB
そのデータ、完全削除しませんか
http://www.gfi.co.jp/01news20160223_399.html
政府機関の情報セキュリティ対策のための統一技術基準(平成 24 年度版)
解説書
内閣官房情報セキュリティセンター
2.3.2.3 サーバ装置
遵守事項 (2) サーバ装置の運用時
(b) 情報システムセキュリティ管理者は、要安定情報を取り扱うサーバ装置については、サーバ装置の運用状態を復元するために必要な措置を講ずること。
http://www.nisc.go.jp/active/general/pdf/K305-111C.pdf
注1:
個人情報保護委員会
法令・ガイドライン等
個人情報の保護に関する法律は、
平成27年9月9日にその改正法(平成27年9月9日法律第65号)が公布され、平成28年1月1日にその一部が施行されました。
なお、改正法は、公布日から起算して2年を超えない範囲内において政令で定める日に全面施行されます。
http://www.ppc.go.jp/personal/legal/
個人情報の保護に関する法律(平成十五年五月三十日法律第五十七号)
最終改正:平成二七年九月九日法律第六五号
(最終改正までの未施行法令)
平成二十七年九月九日法律第六十五号 (一部未施行)
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
注2:
個人情報保護委員会
関係法令一覧
http://www.ppc.go.jp/legal/laws/
行政手続における特定の個人を識別するための番号の利用等に関する法律
(平成二十五年五月三十一日法律第二十七号)
最終改正:平成二八年三月三一日法律第一五号
(最終改正までの未施行法令)
平成二十四年十一月二十六日法律第百二号 (未施行)
平成二十七年三月三十一日法律第九号 (一部未施行)
平成二十七年五月二十九日法律第三十一号 (未施行)
平成二十七年九月九日法律第六十五号 (一部未施行)
平成二十八年三月三十一日法律第十三号 (未施行)
http://law.e-gov.go.jp/htmldata/H25/H25HO027.html
注3:
個人情報保護委員会
Q9-2個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。
A9-2個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。(平成27年4月追加)
http://www.ppc.go.jp/legal/policy/answer/
注4:
キャッシュレス化に向けた方策
平成26年12月26日
内閣官房
金融庁
消費者庁
経済産業省
国土交通省
観光庁
http://www.meti.go.jp/press/2014/12/20141226003/20141226003a.pdf
注5:
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成26年12月12日厚生労働省・経済産業省告示第4号)
平成26年12月
経済産業省
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf
上記ガイドラインより
2-2-2.個人情報の取得関係(法第17条~第18条関連)
(1)適正取得(法第17条関連)
法第17条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはならない。
なお、不正の利益を得る目的で、又はその保有者に損害を加える目的で、秘密として管理されている事業上有用な個人情報で公然と知られていないものを、不正に取得したり、不正に使用・開示した場合には不正競争防止法(平成5年法律第47号)第21条、第22条により刑事罰(行為者に対する10年以下の懲役若しくは1,000万円以下の罰金、又はその併科。法人に対する3億円以下の罰金)が科され得る。
注6:
秘密分散法コンソーシアム
2002年に秘密分散法コンソーシアムを立ち上げ、最初の公的市場啓蒙活動を始め、その後も当該純国産技術の健全な市場普及に向け、自主的な勉強会等も開催してまいりました。粘り強く継続してきた市場啓蒙活動も奏功し、昨今の社会的課題にも有効な技術であることが認知されて来ております。
http://www.sss-c.org/
注7:
ECにおける情報セキュリティに関する活動成果報告2009
のうち、
秘密分散技術利活用検討における活動成果報告書2009(TF1)
添付の法的意見書より
http://www.jipdec.or.jp/archives/publications/J0004291
注8:
事業者における特定個人情報の漏えい事案等の報告様式
委員会への報告様式
Word形式 (WORD:48KB) PDF形式 (PDF:237KB)
※重大事態に該当しない事案の報告は、各主務大臣のガイドライン等に定めのある様式等で報告していただくことでも構いません。
http://www.ppc.go.jp/legal/policy/rouei/
本リリースに関する問い合わせは、
グローバルフレンドシップ株式会社
まで、お問い合わせ下さい。