経営にまつわる課題、先駆者の事例などを定期的に配信しております。
ぜひ、お気軽にご登録ください。
1 急増するサイバー攻撃
最近、特に中小企業をターゲットとしたサイバー攻撃が増えてきています。
新型コロナウイルス感染症の拡大後は、後述するランサムウェアによる被害やテレワークの増加によるVPN接続の脆弱性を狙ったサイバー攻撃が増えるなど、サイバー攻撃の手法も複雑化・巧妙化しており、サイバーセキュリティに対する脅威が益々増加しています。
ひとたび、サイバー攻撃を受けると、機密情報や個人情報の漏えい、それに伴うレピュテーションの低下や顧客の喪失、さらには業務の停滞など、ターゲットとされた事業者には多くの損害が生じます。
また、令和4年4月1日から施行される改正個人情報保護法により、漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務化されました。このため、不測の事態に備え、事業者には、改正法の概要についてもきちんとフォローしておくことが求められています。
今回のコラムでは、最近のサイバー攻撃の特徴を確認したうえで、漏えい等が生じた場合に事業者に求められる対応について、解説をいたします。
2 最近のサイバー攻撃の特徴
最近のサイバー攻撃の特徴としては、以下の3点が挙げられます。
⑴ ランサムウェアによる被害の増加
まず、サイバー攻撃には、たとえば、標的型攻撃やマルウェア、DoS攻撃など、様々な種類がありますが、最近、特に増えているのは、ランサムウェアによる被害です。
ランサムウェアとは、端末やサーバ上のデータを暗号化するなどして使用できないようにし、復旧と引き換えに身代金を支払うよう脅迫をするウイルスの総称をいいます。
以前は、ウイルスメールをばらまくなど、無差別に攻撃がされていましたが、最近では、明確に標的となる企業や組織を定めたうえで、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへひそかに侵入し、身代金を支払わざるを得ないような状況を作り出すなど、手口が巧妙化しています(標的型ランサムウェア)。
独立行政法人情報処理推進機構が公表をしている「情報セキュリティ10大脅威2021」では、前年度、5位だった「ランサムウェアによる被害」が1位にランクアップされており、ランサムウェアによる攻撃が企業にとって大きな脅威となっていることがわかります。
⑵ サプライチェーン攻撃など中小企業を狙ったサイバー攻撃の増加
2つ目として、中小企業を狙ったサイバー攻撃の増加が挙げられます。サイバー攻撃の対象として狙われるのは、大企業だけではありません。むしろ、最近では、サイバー攻撃への対策が進んでいる大企業を攻撃する前に、下請けなどの取引先や関連子会社を攻撃し、そこから大企業への侵入を試みるいわゆる「サプライチェーン攻撃」も増えてきています。
「小さな会社だから大丈夫」と油断することはできず、中小企業であっても、しっかりとしたセキュリティ対策を講じることが必要です。
⑶ 外部からの通報により発覚するケースの増加
3つ目として、サイバー攻撃の手法が高度化・巧妙化した結果、ランサムウェアによる場合を除き、そもそもサイバー攻撃による被害を受けていても、気づくことがなく、外部からの通報を受け、初めてサイバー攻撃を受けた事実や、それによる情報漏えいを認識するケースが増えてきている点が挙げられます。
サイバー攻撃を受けた場合、被害の拡大を防ぐ観点からは、早急に対応をすることが不可欠ですが、事前に適切なセキュリティ対策をしておかないと、そもそも攻撃を受けたこと自体に気づくことができず、被害が拡大し、取り返しのつかない状況に至ってしまってから、気づくことになりかねません。
このような事態を避けるためにも、事前のセキュリティ対策が必須と言えます。
3 漏えい等が発生した場合の対応
次に、漏えい等が発生した場合に事業者に求められる対応について、見ていくことにしましょう。
令和4年4月1日から施行される改正個人情報保護法では、一定の個人データの漏えい等(漏えい、滅失、毀損)について、個人情報保護委員会への報告と本人への通知が義務化されました。
⑴ 対象となる事象
まず、報告等の対象となる事象は、漏えい等のうち、個人の権利利益を害するおそれが大きい以下の場合です(なお、漏えい等が発生しまたは発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等については、報告を要しないとされています)。
⑵ 報告
次に、報告は、速報と確報の2段階に分かれ、具体的には下記表の内容とされています。なお、報告は、原則として電子情報処理の方法によることとされ、これが困難な場合には書面による所定の報告書を提出することとされています。
⑶ 本人への通知
また、個人情報保護委員会への報告と併せて、個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに本人への通知を行う必要があります。
本人へ通知すべき事項は、漏えい等の上記報告事項のうち、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、④原因、⑤二次被害又はそのおそれの有無及びその内容及び⑨その他参考となる事項の5つです。
4 サイバーセキュリティ対策は中小企業にとっても重要な経営課題
前述したとおり、サイバー攻撃による被害は企業経営に大きな影響を及ぼします。社内で使用するパソコンにウイルス対策ソフトを導入すれば済んだ時代は終わり、現在では、大企業はもちろん、中小企業においても、経営者の主導の下、平時から全社的・組織的なセキュリティ対策を講じることが求められています。
経済産業省では、効果的なセキュリティ対策を進めることができるように、「サイバーセキュリティ経営ガイドラインVer2.0」を公表し、同ガイドラインを踏まえた対策を推奨するとともに、独立行政法人情報処理推進機構(IPA)からは、中小企業向けに、「中小企業の情報セキュリティ対策ガイドライン(第3版)」が公表されるなど、中小企業におけるセキュリティ対策を支援する取り組みをしています。
本コラムを機に、自社のセキュリティ対策について、今一度、確認をするとともに、サイバー攻撃のターゲットにされた場合に備え、保険の活用も検討するなど、平時だけではなく有事も見据えた備えを進めていただければと思います。
(このコラムの内容は、令和4年1月現在の法令等を前提にしております。)
(執筆)五常総合法律事務所
弁護士 持田 大輔
MKT-2022-504
「ここから変える。」メールマガジン
関連記事
お問い合わせ
パンフレットのご請求はこちら
保険商品についてのご相談はこちらから。
地域別に最寄りの担当をご紹介いたします。
- おすすめ記事
- 新着記事
キーワード
中小企業向けお役立ち情報