サイバーセキュリティとプライバシー

はじめに

サイバーセキュリティとプライバシーは密接に関わっており、不可分の関係ですが、歴史的には昔からそうだったわけではありません。

IAPPのサイトに掲載されているVirtru社のホワイトペーパー「Succeeding at the Intersection of Security and Privacy」(2019年公開)によると、「セキュリティ」と「プライバシー」のコミュニティおよびコンセプトは長い間それぞれが別々の分野として交わることがない存在でした。

その理由として、それぞれのコミュニティで考慮すべきポイントが異なる点を挙げており、「セキュリティ」がデータを保護する技術的な実装を重視する傾向があるのに対し、「プライバシー」は、データの保有、アクセス、保護、共有の裏にある法律的および倫理的な点を重視していると指摘しています。

しかしながら、近年セキュリティとプライバシーに影響を与えるようなデータ侵害問題が次々に発生し、これら2つの分野は、それぞれの事象を個別に考え対応するのではなく、交差する問題としてとらえ、対応していくことが求められています。

プライバシーとサイバーセキュリティは、なぜ不可分なのか?

プライバシーの問題

2019年1月、GoogleがCNIL(フランスの個人情報保護機関)によりEU GDPR違反により5000万ユーロの罰金を科されたケースでは、セキュリティの問題ではなく、プライバシーの問題であり、違反理由として、透明性の欠如(GDPR第5条)、情報提供が不足(GDPR第13条/第14条)、法的根拠の欠如(GDPR第6条)が挙げれており、取得された同意は「具体的」かつ「曖昧でない」ものではなかった(GDPR第4条11項)としています。

では、日本で最近発生したデータの不正アクセス問題の場合はどうでしょうか?

データの不正アクセス問題

2023年9月26日にNHKより報道発表されたNHKの不正アクセスの問題(不正アクセスによるNHK従業員等の個人情報漏洩のおそれ)では、内部の業務用サーバーが外部からの攻撃を受け、2万3435人の従業員等の個人情報(氏名、メールアドレス、部署・役所名、内線番号、ユーザーID、ハッシュ化されたパスワード)が漏えいした可能性があるとされています。

問題が判明後、NHKは速やかに速やかに個人情報保護委員会に報告(通知)を行ったとのことです。

この問題は、インシデントの範囲も含めた問題の調査や今後のセキュリティ対策の強化といったサイバーセキュリティの問題でもありますが、個人情報の漏えいについてはプライバシーの問題として対応することも必要となります。

企業や組織は、こうした問題をセキュリティ問題やプライバシーの問題といった別々の枠組みでとらえるのではなく、交差する問題としてとらえ、問題の解決や事故後の対応策を実施するがあります。

こうした問題に対処するには、調査、セキュリティの強化や再発防止策を実施するためのセキュリティの専門知識を持ったリソースと個人情報の漏えいについてプライバシーの専門知識を持ったリソースが必要となります。

個人情報保護委員会に対する報告と個人への通知義務

NHK広報局の報道発表によると、7月31日に判明後、速やかに個人情報保護委員会へ報告を行ったとのことです。

個人情報保護法では、個人情報保護法の第二十六条個人情報保護委員会への漏洩等の報告(通知)義務が規定されており、同法の第二十六条の2項では、個人に対する通知が義務づけられています。

(漏えい等の報告等)

第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

引用:平成十五年法律第五十七号 個人情報の保護に関する法律

第二十六条の「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」について、同法の第七条にて該当する個人データが示されています。

(個人の権利利益を害するおそれが大きいもの)

第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態

 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

引用:平成十五年法律第五十七号 個人情報の保護に関する法律

個人情報保護法では、監督機関への報告期限については言及されていませんが、個人情報保護委員会のサイトによると、概ね3~5日以内の報告を推奨しているようです。(EUのGDPRでは、72時間以内(可能な場合)に管轄の監督機関への報告)

また、同サイトでは、個人へ通知方法の例についても言及されており、本人への通知が可能な場合については、メールまたは郵送などが例示されており、本人への通知が困難な場合の代替措置としてホームページ等での公表や問い合わせ窓口の設置などが挙げられています。

データの不正アクセスと個人情報の管理

EU GDPRなど一部の国や地域の法規制では、データ処理活動の記録が求められていますが、これらの情報は、インシデントが発生した場合の影響範囲や不正アクセスの対象となった個人情報の内容を把握する上でもベースとなる貴重な情報です。

データの不正アクセスの対象が、どのような情報資産(社内ネットワークもしくはクラウドのファイルサーバーやデータベース、アプリケーション)を対象に行われ、そこにはどういった個人データが含まれていたかも、問題の深刻度と被害規模の判断に重要な役割を果たします。

こうした情報は、組織内でのデータ処理活動(個人データの流れ)を把握し、収集、処理、保存、共有、削除される方法についてドキュメント化する「データマッピング」によって適切に管理し、適宜、情報を更新しておくことで、調査時にデータ処理活動(データ取り扱い業務)や情報資産(アセット)の情報をもとに、被害範囲や影響、監督機関や個人への通知が必要かどうかなど、組織が取るべき対応について正確に把握することが可能です。

さいごに 

データの不正アクセス問題の場合、サイバーセキュリティ分野だけでなく、プライバシー法規制も関係し、監督機関や個人への通知要件などプライバシー分野の法規制に関する知識が必要となります。

組織が不正なデータアクセス問題に対処するためには、コインの裏と表であるセキュリティとプライバシーについて IT セキュリティ部門とデータ保護責任者がそれぞれ個別に対応するのではなく、問題を解決するために両者が協調して対応および対策を進めていくことが重要です。

不正なデータアクセスは、企業の製品やサービスのブランド価値や評判を著しく棄損することにもつながり、企業としてセキュリティとプライバシー分野の両方で一貫した対応が求められています。

関連するOneTrustのソリューションのご紹介

OneTrustでは、個人データを台帳管理するためのデータ侵害の通知義務に関する法規制を遵守し、インシデント対応を支援するモジュール「インシデント管理」機能が提供されています。

実際のインシデントが発生した場合、そのインシデントについて法規制で求められる通知要件の詳細について評価することが可能です。

評価テンプレートは、汎用的なテンプレートからデータ侵害通知義務が法規制で定められているEU(GDPR)、シンガポールやアメリカの州ごとのテンプレートなどが用意されており、対象となる地域の法規制に対応した評価を実施することが可能です。

もし、インシデント対応業務を支援する「インシデント管理」、組織内でのデータ処理活動(個人データの流れ)を把握し、台帳管理するための「データマッピング」、データ処理活動やプライバシーに関するリスク影響評価のための「プライバシー影響評価(PIA/DPIA)自動化」に関するソリューションをお探しでしたら、ぜひ弊社までご相談ください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください