大規模な情報漏えいが起きた際に企業がとるべき対応を強化する改正個人情報保護法の全面施行が来年4月に控える中で、企業へのハッカー攻撃が増加している。ハッカーが狙うのは対策が不十分な非上場企業で、信用低下などで被害が受けるダメージは大きい。また、改正法の全面施行後は、情報漏えいが起きた場合に企業が本人への通知などの対応を求められるケースが増える見通し。このため企業の間ではセキュリティー予算を増額する流れも出ている。
セキュリティー企業のサイバーセキュリティクラウド社の調査によると、2020年10月1日から2021年9月30日までに公表された不正アクセス被害のうち、流出した個人情報の件数が1000件以上100万件未満のものは78件だった。昨年の調査では50件だった。
業界別の割合を見ると、サービス・インフラと小売がそれぞれ23.1%で最多。また、被害企業を上場企業やそのグループ企業と、非上場企業に分けると、非上場企業が78.2%を占めた。特に被害が多かった小売業界では事案の82.4%が非上場企業で起きていた。
同社の担当者は「セキュリティーへの投資に課題のある非上場企業が狙われている」と警鐘を鳴らす。コロナ禍でビジネスのデジタルシフトが急速に進み、対策が不十分な企業が標的にされたという。ハッカーは企業が保有するデータを利用できない状態にして身代金を要求するランサムウェアなどによって不正に資金を取得する狙いがあるとみられる。被害にあった企業にとっては、情報が漏れたことで顧客からの信用を失いかねないうえ、金銭被害のおそれも出てくる深刻な事態だ。
だが、改正個人情報保護法が全面施行されれば、企業はさらに大きな社会的責任を負うことになる。改正法は個人の権利や利益への害が大きい情報漏えいが起きた場合、現行では努力義務にとどまっている個人情報保護委員会への「報告」と本人への「通知」を義務化しているためだ。
同委員会がまとめたガイドライン案では、1000件を超える漏えいが報告と通知の対象だとされている。ただし、改正法は件数が1000件以下であっても義務が発生するケースとして、従業員の健康診断結果などの「要配慮個人情報の漏えい」、送金・決済サービスでIDやパスワードが盗まれる「財産的被害のおそれがある漏えい」、不正アクセスなどによる「不正の目的によるおそれがある漏えい」の3パターンを規定。これらの場合は漏えいの「恐れ」があるだけでも義務が発生するため、被害企業の多くが報告と通知を迫られることが考えられる。
また委員会への報告は、おおむね3~5日以内の「速報」と最短30日以内の「確定」の2段階で行う必要がある。一方、本人への通知には具体的な期限が設けられていないが、企業が事案を公表して、顧客らが情報漏えいの被害に遭っているかどうかを確かめられるようにするなどの措置が求められる。
個人情報漏えいについて企業側の負う責任が大きくなるのは「世界的な流れ」(サイバーセキュリティクラウド社)だ。別のセキュリティー企業、セキュアエイジ社の調べでは国内の経営者の63.1%が来年のセキュリティー対策関連の予算を増額すると答えており、そのうち26%以上が4割以上の増額を検討しているという。
