個人情報保護法は、企業や団体、行政機関などが個人情報を取り扱う際に順守すべき義務を定め、利用者や消費者の権利利益を保護するとともに、個人情報を有効に活用できるよう共通のルールを定めた法律である。

　デジタル社会においては、ビッグデータの収集・分析が可能となり、また、国境を越えたデータ流通が増大するなど、利用される個人情報は大きく変化している。こうした社会の変化に対応するため、2015年の改正個人情報保護法では3年ごとに制度を見直す、いわゆる3年ごと見直し規定が定められた。この規定に基づき、20年6月12日に法改正が行われ（法令違反に対する罰則の強化について20年12月12日施行、全面施行が22年4月1日）、個人の権利保護の強化や個人情報取扱事業者の責務の追加、データの利活用の促進などが盛り込まれた。今回は改正個人情報保護法において、企業に与える影響が特に大きい情報漏洩とその対策にポイントを絞って解説する。

改正個人情報保護法のポイント

　改正前の個人情報保護法では、個人データの漏洩が発生しても通知・報告は努力義務だったが、今回の改正によって個人データの漏洩が発生し、要配慮個人情報が含まれるなど個人の権利利益を害する恐れがあるときは、個人情報保護委員会への報告と本人への通知義務が課せられるようになった。命令違反や虚偽報告を行った際の罰金も最大1億円に引き上げられた。もし、サイバー攻撃の被害に遭って情報漏洩が発生してしまった場合は、企業としての信頼を損なう上に、莫大な調査費用もかかってしまう。サイバー攻撃が増加する現在、経営リスクに直結する情報漏洩対策の重要性は高まっている。
 

2022年4月以降も大規模な情報漏洩が発生

　改正個人情報保護法が全面施行された22年4月以降も、顧客のメールアドレス1000件の誤送信や、不正アクセスによる会員情報200万件の流出など、大規模な情報漏洩は多数発生している。
 

情報漏洩はどのようなときに起きやすいか

　情報漏洩が起きるケースとしてよくあるのは、紛失・置き忘れ、規定違反、サイバー攻撃による不正アクセスなどである。
 
　紛失や置き忘れ、規定違反の漏洩については、情報セキュリティ研修や、情報セキュリティ規定の周知など人的対策が重要だ。不正アクセスなどサイバー攻撃については、人的対策だけでは難しいため、技術的対策が必要である。情報漏洩対策として、Web経由やメール経由での攻撃を受けてしまった時のために、機密情報そのものを守るファイル暗号化対策も重要である。

改正個人情報保護法とファイル暗号化製品

　ファイル暗号化製品は、内部からの漏洩、取引先からの漏洩、外部からの漏洩の対策ができるかどうかが重要だ。ランサムウェアをはじめとするサイバー攻撃があった際に、機密情報が守れるかという観点で確認してほしい。
 
　次に「高度な暗号化」ができるかどうかを確認することを勧める。「高度な暗号化」とは、第三者が見読可能な状態にすることが困難となるような暗号化措置が講じられていることを指す。電子政府推奨暗号リストなどに掲載の暗号化技術を適切に実装することが求められ、また遠隔操作により情報を削除できたり第三者が復号できないように実装されていることが必要だ。「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた個人データ」については、漏洩した場合も報告義務が発生しないとされている。

　最後に確認したいポイントは、利便性である。ファイル暗号化や復号化の手間が大きいと、業務効率が低下したり、うまく活用されず情報漏洩対策ができないという状況に陥る可能性もある。ファイル暗号化製品に限らず、セキュリティ製品は運用されないと意味がない。利便性を損なわないファイル暗号化製品を活用することが肝要だ。このような改正個人情報保護法に対応したファイル暗号化製品として、デジタルアーツの「FinalCode」という製品もある。