企業経営者の“いちばんの友人”でありたい

ウィッシュ

保険・リスクマネジメント

サイバーセキュリティ研修 ~個人情報保護法との関係は?~

こんにちは。本社システム部の村山です。

マルエイソリューションでは、月に1度サイバーセキュリティの研修を行っていますが、あるリスクコンサルタントからこんな質問を受けました。

「今年、個人情報保護法が改定されたと聞いたが、サイバー攻撃との関連性はどうなんでしょうか?」

サイバー攻撃と個人情報の関係は、一緒に扱われることが多くあり、気になる方も多いようです。そこで今回は、2022年4月に施行された改正個人情報保護法(※1)によって、どのような対策が必要なのかなどをご案内します。

サイバーセキュリティ保険と関わる点で、大きく変わったのは事業者の責務が厳格化したことです。万が一、保有個人データが漏えいした際、必ず個人情報保護委員会に報告し、本人にも通知することが義務化されました。なおかつ、もし報告等を怠った場合には1億円までの罰金がペナルティとして課せられます。

改正前の個人情報保護法では、保有個人データが漏えいした際の報告や通知は、努力義務であり、また罰金も最高で50万円でした。IT技術の進歩による個人情報保護の必要性の高まりや、個人情報の重要さ、価値自体が、個人情報の活用範囲の拡大によって、より高まった証拠だと思います。

また、個人情報保護法は3年ごとに見直すことが規定で定められており、その都度、今回のように改定があり、対応が必要になることが考えられます。ですので、今回の改正によって個人データが漏えいした、もしくは漏えいした疑いがある場合、報告や通知義務を果たすために、調査を行う必要が出てきます。その結果、どうなるかというと・・・「お金がかかる!」ということなんです。

内訳としては、

●ステップ1 初動対応調査

   事故原因・被害範囲調査費用

●ステップ2 対外的対応

   事故対応費用・社告宣伝活動費用 (詫び状作成・送付、コールセンター、見舞金・見舞品購入費用)

●ステップ3 復旧・再発防止 情報システム等復旧費用 再発防止費用

個人情報保護法の関係で義務となるのは「ステップ2 対外的対応」です。例えば通知のための送料や見舞品(クオカードなど)で、一人当たり数百円でも、漏えいした顧客数がそこに積でかかるので、数百万~それ以上になることも。顧客数によってはかなりの金額になることが予想されます。報告と通知が義務化されたことにより、専門性が増して、企業独自での対応が難しく、業者に頼らざるを得ない部分も多いと思います。それ故、費用も増します。
ちなみに、調査(ステップ1)と復旧費用(ステップ3)については、警察庁の資料によると、ランサムウェア被害に関連して要した調査・復旧の総額について、1,000万円以上の費用という回答が55%を占めていると発表しています。(※2)
サイバー攻撃の被害発生時に費用がどれほど掛かるか、ご理解いただけたかと思います。

これらサイバー攻撃に被害情報漏洩に関わる調査・事故対応費用・復旧費用などが補償されるのが、「サイバー保険」(注1)です。
お客さまには予防のための事前対策をしっかりしていただくよう注意喚起するとともに、事後対策としてのサイバー保険のご案内もしておりますので、もし、ご心配な点のある法人・団体の事業主さまは、弊社までご連絡ください。

株式会社マルエイソリューション 本社システム部 村山

出典
(※1)個人情報保護委員会ウェブサイト 令和2年改正個人情報保護法 特集 https://www.ppc.go.jp/news/kaiseihou_feature/
(※2)警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」(令和4年9月15日)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
(注1)サイバー保険とはサイバーリスクに起因して発生する様々な損害に対応するための保険の一般的な名称です。「サイバーリスク保険」「セイバーセキュリティ保険」など、各保険会社により商品名は異なります。また、補償内容は、保険会社や保険会社が提供するサイバー保険のプランにより異なります。詳細は弊社担当者へご確認ください。

投稿日:2022.11.21

最新エントリー

月別アーカイブ

保険のセカンドオピニオン

© 2015 WISH (募集文書番号 23TC-000845 作成年月:2023年5月)

ウィッシュ事業部
Pagetop

Menu

MENU