重罰化した改正個人情報保護法 ~安全管理措置に必要な対策とは?~

公開日
更新日
重罰化した改正個人情報保護法 安全管理措置に必要な対策とは?

2022年4月、『改正個人情報保護法』が施行され、大手企業だけでなく中小企業についても対応が必要となりました。

個人情報の漏えいは消費者にとって重大な問題であり、個人でも輸入が可能になった現代に法整備が進むことは、国内企業への安心感や信頼感、ひいては購買理由に繋がる要素と考えられます。

罰則が強化されたこともあり(※1)関心が高まっているものと思いますが、一方で”漏えいさせない”対策については各企業に一任されている部分も見受けられます。
また、同法案の中では時代に合わせて3年ごとの見直し・改定が行われることも明記されているため、厳重かつ柔軟な対策を時代に沿って選択する必要があります。

IPA(独立行政法人情報処理推進機構)による調査(図1)では“「誤操作、誤認等」が21.2%と前回調査に比べ約半減。その一方で「中途退職者」による漏えいは前回より増加し36.3%と最多”としており、企業には意図的な情報漏えいへの対策が求められています。

図1. 営業秘密の漏えいルート(IPA「企業における営業秘密管理に関する実態調査2020」報告書P25より)

また、情報漏えいを認識した際に実施したこと(図2)では”「行為者(と疑われる者)に対するヒアリング」の割合や「ログ等の確認」が高く、従業員300名以下の企業では「何もしなかった」割合が高い“としており、人的および物的な情報収集が優先されているものの、なにをするべきか把握できていない中小企業も少なくないことが分かります。

図2. 漏えいを認識した際に実施したこと(IPA「企業における営業秘密管理に関する実態調査2020」報告書P41より)

改めて『改正個人情報保護法』に戻ると、企業が個人情報の漏えいを防ぐための対処方法として『8章:講ずべき安全管理措置の内容』が定められています。
ではどのように遵守するべきなのでしょうか。対応方法について企業の裁量が大きい第3節『組織的安全管理措置』の5項目を例に、ポイントを押さえながらご説明します。

  1. 組織体制の整備
  2. 個人データの取扱いに係る規律に則った運用
  3. 個人データの取扱状況を確認する手段の整備
  4. 漏えい等の事案に対応する体制の整備
  5. 取扱状況の把握及び安全管理措置の見直し

法改正により、措置命令違反や虚偽申告、個人情報データベース等の不正提供に対する罰金刑が引き上げられています。漏えいや体制の不備等について、直接的にこれまでより重い刑罰が定められたものではありませんが、遵守することで個人情報の漏えいリスクに対して有効に作用します。

一般的に組織を形成するプロセスを5段階に分けた場合、以下のような順が望ましいとされています。

目的の決定(取扱状況の把握及び安全管理措置の見直し)

手段の選定(個人データの取扱状況を確認する手段の整備)

運用の確立(個人データの取扱いに係る規律に則った運用)

有事の体制(漏えい等の事案に対応する体制の整備)

組織の形成(組織体制の整備)

ここでの目的とは当然、個人情報の漏えいを防ぐことであり、改正個人情報保護法を遵守することです。

次に(個人データの)取扱状況を確認する手段の整備では、利用目的やアクセス権を有する者等を明確化することが推奨されています。更に加えてログ管理ツールを用いたデータの取り扱い状況可視化も有効と言えます。

また、(個人データの取扱いに係る)規律に従った運用を確保するための手法として利用・出力状況や情報システムの利用状況等を記録・検証することが推奨されており、その手法の一例としてログ管理が挙げられています。

続く(漏えい等の事案に対応する)体制の整備では、事実関係の調査及び原因の究明や個人情報保護委員会等への報告などが定められており、個人情報保護委員会では聞き込み調査やログの解析が有用とされています。

最後となる組織の形成段階では、事案発生時の報告連絡体制の確立や責任の明確化などが例示されており、事案発生または兆候の把握手段としては先のIPAによる調査にもあった通りログの管理に有用性があることは確かです。

これら5項目のうち、目的以外の4項目を遵守する上でログ管理が有効であることにお気付いただけましたでしょうか?

このように、改正個人情報保護法に則った、情報漏えいをしない・させない、即ち安全管理措置の行き届いた組織を作るためにはログ管理が重要といえるのではないでしょうか?

おすすめのログ管理ツール

では、その重要といえるログ管理ツールには一体なにを選べばよいのでしょう。

安全管理措置を対策する上でログ管理ツールに求められる機能は主に以下の5つが挙げられます。

  • ファイルログ(読み込み・書き込み)
  • サーバーへのアクセスログ
  • Eメール・USB等への持ち出しに関するログ
  • 不自然な操作を検知するアラート
  • 定期監査および調査のためのビューアー
  • 3年ごとの改定や技術の進歩に対応できる柔軟性や安定性

これらを満たすツールとして今回おすすめするのが『MylogStar』シリーズです。

『MylogStar』シリーズはPC上の操作ログ(記録)をアプリケーションの動作(動作の表面)ではなくOSの挙動(動作の根幹)を基にを管理するため、業界屈指のログ収集力を誇ることが特徴です。

ファイルログやアクセスログはもちろん、EメールやUSB等での持ち出しや、製品によっては収集が困難とされるシークレットモードでのブラウザログにも対応しています。

例えば、ブラウザをシークレットウィンドウで動作させた場合、アプリケーションの動作上はログが残らず検知・調査ができませんが、OSの挙動であればログを取得することが可能です。

またその特性上、ゼロトラストなどの技術革新にも強く、アプリケーションやネットワークなど環境の影響を受けずに安定してログを取得することが可能となります。オフラインサーバーやシンクライアントにも対応しており、柔軟性も高いと言えます。

そして、収集したこれらのログを活用できるアラート機能も充実しており、

特定のファイルに対してアクセスがあった場合に一律で通知をすることはもとより、早朝や深夜など人目に付きにくい時間のアクセスのみに限る等、複数の条件に一致した場合のみ通知することで効果的に不正行為を防ぐこともできます。

さらに、アラートビューやログの分析機能による高い可読性も有しているため、定期監査や有事の際の調査に掛かる負担も最小限に抑えることが可能です。

さくらインターネットが提供する「さくらのクラウド」を利用したMylogStarであればサブスクリプションで操作ログ管理が可能となります。

【メニュー一覧】さくらのクラウド マーケットプレイス
https://cloud.sakura.ad.jp/specification/option/#mylogstar

お客様の環境に合わせて、PC側で操作ログを取得するか、重要データを格納しているファイルサーバー側でログを取得するか、選択が可能です。

【参考情報①】

ログ管理、あなたはどっち派? サーバーアクセスログ管理 or クライアント操作ログ管理

ログ管理入門(2) ログ管理、あなたはどっち派? サーバーアクセスログ管理 or クライアント操作ログ管理

【参考情報②】

改正個人情報保護法:https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
IPAによる調査:https://www.ipa.go.jp/security/fy2020/reports/ts_kanri/index.html

※ 2022年6月14日時点の情報です。内容は予告なく変更する場合がありますので、予めご了承ください。
※1 法定刑の引き上げは2020年12月12日施行。

セキュリティログ管理改正個人情報保護法
古川伸一のプロフィール画像
古川伸一
株式会社ラネクシー所属。クライアント操作ログ管理ソリューション「MylogStar(マイログスター)」をはじめとする各プロダクト販売の事業に携わっております。 株式会社ラネクシー:https://www.runexy.co.jp/ MylogStar×さくらのクラウド:https://www.mylogstar.net/alliance/sakura.html