【被害者全員への通知義務化　違反時は罰金など】サイバー被害に関する新しい法規制と企業としての対策

こんにちは、高柳です。

年々、個人情報保護やプライバシー関連の規制が厳しくなっています。ここ最近でパニッシュメントの厳しさで一番世の中がざわついたのは、 GDPR（EU一般データ保護規則） でしょう。当該企業の全売り上げの4%の課徴金というのは誰もが二度見してしまうレベルです。直近ではブラジルも LGPD（Lei Geral de Proteção de Dados） というデータプライバシー法が制定され、国内外の個人情報を扱う企業がその対象となります。GDPRと同様、国境を跨いだ法律の実効性については必ずしも確かではありませんが、いずれにせよ世界中で「GDPR特需」と呼ばれる現象が起こり、皆様も会社のウェブサイトなどでこの対策をしたのは記憶に新しいと思います。

日本国内では2003年に個人情報保護法が制定され、今年の6月に改正個人情報保護法が施行されました。 JIPDEC が認証する プライバシーマーク の導入を各社が行って久しいと思いますが、弊社の TDMA（IT前提経営アドバイザリー） の仕事の中でも IPOを目指す企業のIT内部統制 の導入においてこのプライバシーマークや ISMS の導入は必須となっています。

会社からすると一見コストに見え、経営者層からは眉を潜められますが、しかし一旦事故が起きてしまえば多大な賠償や、被害者への見舞金などが発生するため、これらの準備はIT前提時代の企業においては当たり前のネットリテラシーと考えるべきでしょう。

今回新たに施行されようとしている法律 の中身は 「サイバー攻撃で個人情報が漏洩した企業に対し、被害が発生した全員への通知を義務付け（中略）違反には最高で1億円の罰金を科し、悪質な場合は社名も公表する」 もので、政府の個人情報保護委員会がイニシアティブをとり、2022年春の施行を目指しているものです。この罰則はこの手の法制度においては国内で一番重いと思われます。

IT前提経営 の時代において、企業またはその組織を形作る最小単位としての個人が、顧客や関係者の個人情報に「気を遣う」のは当たり前の時代になりました。気を遣うためには「システム」といわれるものの構造を理解しておく必要があります。
一方で、昨今は「過度なセキュリティー施策」によって、極端にコストが高くなったり、使い勝手が悪くなりユーザーに負担をかけたりするケースも目立ちます。私たちのIT前提経営のメソッド（6大要素）の1つに「クラウドサービスの適切な導入」というものがあります。この「適切な」というのが重要で、クライアント企業の特性に応じ、適切なさじ加減で具体的なアドバイスを行うことを心掛けています。
また、実はこの手の事故はヒューマンエラーで起こることが殆どだという報告もあります。従って、経営者及び社員への適切で継続的なトレーニングの提供も必ず必要になってきます。すなわち、情報システムへの正しい理解と、経営者及び社員への継続的な教育が、結果として事故を減らすことに繋がるのです。
このような議論を通して、組織の人々が主体的にこの問題に「気を遣う」ことができるようになるとそれが完成形であると言えると考えています。

ガーディアン・アドバイザーズ株式会社　パートナー
株式会社ウェブインパクト　代表取締役
立教大学大学院　特任准教授
高柳寛樹