★業界も規模も関係なし。罰金1億円!?個人情報保護法の改正で現実的に会社が倒産する
目次
★業界も規模も関係なし。罰金1億円!?個人情報保護法の改正で現実的に会社が倒産する
2022年4月、改正個人情報保護法が施行されました。
不正アクセスによる情報漏えい時の報告や本人通知が義務化されるなど、サイバー攻撃に対してより厳格な対応が求められることになります。
【この記事に書かれていること】
・個人情報保護法改正の概要や背景
・知らないと倒産する改正のポイント
・会社が備えなければならないこと
【解説動画】
【情報漏えいの実例】
2019年、国内のネットショップサービスを展開する企業が不正アクセスされ、利用客のクレジットカード情報が流出。
この会社は従業員12名、年商2億円ほどの規模でした。
情報が流出した可能性のある顧客は、7,542名。
流出発覚後2ヶ月に渡り対応に追われ、運営サイトも閉鎖しました。
会社が被った損失額は、最低でも1,250万円とされています。
内訳を見てみましょう。
・お詫び状の発送・・・切手代84円×7,542名=633,528円
・お詫びの品・・・金券500円×7,542名=3,771,000円
・弁護士相談費用・・・300,000円
・問合せセンター要員・・・300,000円×3名×2ヶ月=1,800,000円
・フォレンジック調査(後述)・・・500,000円×パソコン12台=6,000,000円
さらに、利用客から損害賠償請求された場合や風評被害で売上が止まった場合、会社の損失額は数千万、億にのぼった可能性もあります。
会社の体制や従業員の生活まで考えると、被害の甚大さがよく分かりますね。
では、ITと縁のない業界には関係ない話なのでしょうか。
大して情報をもっていない企業なら危険はないのでしょうか。
【法改正の概要~もう他人事では済まされない~】
2020年6月に改正個人情報保護法が成立、公布され、2022年4月1日に施行されます。
具体的には、情報漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への速報と確報の二段階の報告および本人への通知が義務化されます。
これまでは努力義務だったので、ニュースでも「対応せざるを得ない大手企業だけ」が取り沙汰されていました。
当然、先ほどの実例のように対応に時間も取られ費用もかかる話です。
個人情報保護委員会への報告および本人への通知が義務化される場合とは・・・
①不正アクセスによるおそれがある漏えいの場合
②要配慮個人情報の漏えいの場合
③財産的被害が発生するおそれがある漏えいの場合
④1,000人を超える漏えいの場合
ここでポイントになるのは①です。
②③④については被害の質や規模が基準になっているのに対し、①は不正アクセスによる「おそれがあるかどうか」が基準です。
つまり、①に該当するなら、どういう情報が漏えいしたか、どれだけの被害が出たかは全く関係がないんです。
また、①②③は該当してしまうとたった1件の漏えいでも報告・通知義務の対象になります。
今回の改正で、「うちには関係ない」は通用しなくなりました。
見方を変えると、①に該当しないことを証明しない限り、前述の義務を果たさなければなりません。
違反すると・・・
・法人の場合、最大で1億円の罰金が科される
・悪質な場合、社名が公表される
どちらも致命的です。
【改正の背景~カモにされる日本~】
ここまで厳しい法改正に至った理由は、ここ数年で右肩上がりに被害が急拡大しているサイバー犯罪の急増にあります。
背景にあるのは・・・
・情報技術の発達によりアクセスしやすくなった
・SNSの浸透によってサイバー犯罪に巻き込まれやすくなった
・知識がなくてもサイバー攻撃できる安価なソフトが出回っている
ウイルスによる不正アクセスの目的は、情報を盗んで売るためです。
サイバー攻撃は犯罪ですが、闇社会ではビジネスとして成り立ってしまっています。
例えば氏名・住所・生年月日等の個人情報は詐欺組織に売れますし、特に服薬履歴やクレジットカード情報等は高値で売れるそうです。
こういった情報そのものに価値がある場合は被害企業に対して「二度とアクセスできなくする」と言って身代金の請求もできます。
また、情報自体に価値はなくても、取引先の情報を入手できればそれを利用して稼ぐこともできます。
つまり、取引先になりすまして架空の請求書を送りつけたり、情報を盗み取ったりして同じことを繰り返せば・・・
そうです。
お気づきの通り、「うちには大した情報はない」という態度は通じません。
自社に大した情報がなかったとしても、取引先の会社に迷惑をかける可能性があるんです。
最近では名前を聞けば誰でも知っているような大企業がサイバー攻撃の被害を受けたという報道が相次いでいます。
「立派な企業なのに大変だなあ・・・でもなんでちゃんとセキュリティ対策してなかったのかなあ」という疑問がわくかと思います。
なぜか。
前述の通り、大企業の傘下にある無数の中小企業がリスクの塊になってしまっているからです。
ここで、警察庁が発表した『令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)』のデータをお見せします。
これらのグラフから、中小企業でもターゲットになり得ること、被害額が高額になること、大半は海外からのサイバー攻撃であることが分かります。
「うちには大した情報ないから大丈夫」
「ウイルス対策ソフト入れてるし安心」
「そもそもうちなんかサイバー攻撃とは無縁」
日本はセキュリティ意識が低く、パソコンにウイルス対策ソフトを入れておけばOKという認識なので、海外のハッカーから狙われやすいのが実状です。
実際、サイバー犯罪の被害は世界で日本がトップクラスとなっています。
つまりサイバー犯罪者にとって、日本は稼ぎやすいマーケットと見られているんです。
【激変する今後~サイバー保険が自賠責になる未来~】
先ほど書きましたが、大企業は自身の取引先が不正アクセスの被害を受けた場合、それがそのまま自社もサイバー攻撃されるというリスクが生じます。
さらに追い打ちとなったのが、今回の法改正。
・個人情報保護委員会への報告や情報漏えい被害者への通知義務
・違反すれば会社名の公表、最大1億円の罰金
加えて
・システム復旧まで本業停止したことによる売上減少
・SNSやテレビでの風評被害
などの問題も連鎖的に拡大します。
情報漏えいした際に向かい合わなければならない時間的・経済的損失が非常に大きくなってしまいました。
これらの流れから言えることは・・・
会社の規模にかかわらず、今後企業が業務を継続していくうえで、サイバー攻撃や情報漏えいへの対策をしていることが取引の条件になる。
個人レベルでも似たような現象は起きていて、自転車保険の加入義務化が分かりやすいと思います。
従業員が通勤に自転車を利用する場合、保険に入っていることを証明する書類の提出を求める企業が増えてきました。
子どもが通学に使う場合は学校にも提出しないといけない。
これと同じです。
法人でも業種によっては、自動車保険・労災上乗せ保険への加入証明が仕事を任せる条件となっていることもあるでしょう。
ここに、サイバー保険も加わる日が間近に迫っています。
【報告が必要になったら~仕事どころではなくなる~】
情報漏えいした際の個人情報保護委員会への報告と本人への通知。
本人への通知義務については、冒頭の実例にある通りです。
意外に厄介なのが、個人情報保護委員会への報告。
理由は以下の通りです。
①まず速報として数日以内の報告が求められる
②報告するためには原因調査が必要
③確報は30日以内
順に見ていきます。
①まず速報として数日以内の報告が求められる
目安として発覚後3~5日以内に、個人情報保護委員会への報告をする必要があります。
求められる速報の内容は・・・
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
以上9項目です。
なんと、情報漏えいを知ってからたった数日で、これだけの項目をまとめて報告しなければなりません。
注目すべきは(4)原因です。
なぜ情報が漏えいしてしまったのか。
原因がはっきり特定できていればいいのですが、なにぶん目に見えないことなので、通常は専門業者による調査を行わなければ原因は特定できません。
②報告するためには原因調査が必要
この調査のことを「フォレンジック」といいます。
問題は費用で、非常に高額です。
なんと、パソコン1台あたり最低でも50万円かかります。
最近は人材不足や情報漏えいが頻発していることもあり、100万円は下らない相場になっています。
事務所にパソコンが10台あれば、調査だけで1,000万円かかる可能性もあるわけです。
あまりに高額であることから、不払いのリスクを避けるためサイバー保険に加入していることを調査引受けの条件とする業者もいるほど。
そもそもフォレンジックに馴染みがなく、いざという時どこを頼ればいいか分からない会社がほとんどかと思います。
③確報は30日以内
やっとの思いで速報が完了しても、まだ確報の作業が残っています。
タイムリミットは情報漏えいを知ってから30日。
不正アクセスによる場合は60日に緩和されます。
ちなみに報告の仕方ですが、個人情報保護委員会のホームページに設置してあるフォームから報告することになっています。
【最も恐ろしいケース~加害者になる~】
もしも、個人情報が漏えいしてしまったら・・・
いま考え得る最も恐ろしいケースがあります。
それは、個人情報をもっていなくても、取引先に損害賠償請求されることです。
どういうことか。
これまで書いてきた通り、不正アクセスにより情報漏えいしてしまった場合、対応にお金も時間もかかります。
本業どころではなくなり、業種によっては大ダメージです。
このとき、弁護士に相談したとします。
すると、次のようにアドバイスされます。
「情報漏えいのきっかけになった不正アクセスの原因が取引先にあるのなら、そこに対して賠償請求しましょう」
つまり、フォレンジック調査の結果、取引先がコンピュータウイルスに感染し、それが自社に悪影響を及ぼしたことが証明できれば、調査費用等の損害をはじめ、自社が被ったあらゆる不利益の責任を取ってもらおうと言うのです。
取引先の立場からすれば、自社で抱えている個人情報は一切漏れていないのに、それどころか、自分だって不正アクセスされた被害者なのに、いきなり多額の費用請求に見舞われることになるのです。
これが、想定し得る最悪のケースです。
被害者のはずが加害者にされてしまう。
しかも通常の犯罪と異なり、不正アクセスの犯人を特定し捕らえることは非常に困難です。
【当社が提供できる解決策】
①どうしたらいいか分からなくても、経験豊富な提携の各種専門業者をワンストップで迅速にご紹介
②賠償責任が生じれば、日本で唯一インターネット法務に特化した専属提携の弁護士事務所がご対応
③ヒューマンエラーで情報漏えいしても幅広くカバー(紛失、盗難、誤送信など)
三井住友海上火災保険は、日本で唯一IT法務に特化した弁護士事務所、八雲法律事務所と専属提携しています。
これにより、情報漏えいに備える保険(サイバー保険)にご加入者の方には安心して業務に専念して頂けます。
一般的に、情報漏えいが発生した際「まずどうしたらいいのか」が分からない場合がほとんどです。
ウイルスに感染した場合は感染拡大を防ぐために早急な対応が必要となり、そのための原因調査費用の相場はPC1台につき50~100万円、最近では事件増加に伴う人手不足などから250万円まで高騰した例もあります。
このため今までは調査をしなかった、もしくはできなかった会社も、2022年4月より法改正により実質義務化。
さらに恐ろしいのは、取引先にウイルス感染し迷惑をかけてしまった場合に損害賠償請求される可能性があることです。
相談できる専門業者や弁護士は限られる上、保険未加入者は相手にされない傾向にあります。
在宅勤務や副業、転職など働き方の多様化もあり、もはやセキュリティソフトだけのリスク回避は困難です。
当社の保険の特徴は、本来の役目である保険金をお支払いするに留まらず、各種専門業者や専門弁護士による体制整備を提供し、これらの課題にワンストップで対処できるところにあります。
保険に加入するだけで補償は受けられるため、面倒なシステムの導入も、従業員様への周知も不要です。
「よく分からないので、もしもの時に初動からすべて専門家にお任せできるのは心強い」
「セキュリティ対策が間に合わないので助かる」
「今までの保険では取引先への補償がなかったので安心した」
「メールの誤送信や顧客名簿の転売、企業秘密の持ち逃げも補償されるのはありがたい」
など、ご加入者の方からはお喜びの声を頂いております。
さらに、今なら最大68%の割引が適用されます。
★★★無料見積や資料請求をご希望の方は、下記より今すぐお問合せください★★★
◇お見積りはこちら
◇資料請求はこちら
当社は中小企業の自発的な情報セキュリティ対策への取組みを促す活動を推進し、安全・安心なIT社会を実現するためにIPA(独立行政法人・情報処理推進機構)が創設した制度「SECURITY ACTION」の自己宣言事業者であると同時に、普及賛同企業でもあります。
バルスコンサルティングには、30年にわたり培ってきた事故対応のノウハウがあります。
「他の保険代理店での対応に満足できなかった」「いざという不安な時に助けてくれなかった」
そんなお客様へご安心を提供できるよう、スタッフ一同、日々精進しております。
保険の満期を迎える前に、お気軽にご相談くださいませ。
必ずあなたのお役に立ちます。
◇お見積りはこちら
◇資料請求はこちら
TEL:048-479-0094
FAX:048-479-2394
メール:n-nukui@vals3.jp