〒186-0002
東京都国立市東2-21-3

TEL : 042-843-0268

製品進化とマネジメント風景 第83話 規格から法制化に進む情報セキュリティマネジメント

個人情報保護法は2005年に全面施行されましたが、2017年、2020/2021年に大きな改訂が実施されました。これらを受け、本気になる企業が増えてきたと言われています。なぜでしょうか?  

ビジネスとして個人情報のデータベースを活用することが必要な時代になってきたこと、そのデータベースを盗まれるリスクが増えたこと、その結果として法律を犯し罰則を受けるリスクが高まってきたことが挙げられるでしょう。 

害を加えた側に罰を課すのは当然ですが、個人情報保護法では、情報を盗んだ側だけでなく、漏洩してしまった側にも罰を課す所が特徴です。

日本の一般常識では、スキを見せた側ではなく、スキに付け込んだ側が悪いという感覚があります。しかし、法律が改訂された以上、今後は、少なくとも個人情報についてはその常識を変える必要があるでしょう。

では、情報漏洩してしまうと具体的にはどのような罰を受けるのでしょうか?  

1つ目は、情報保護委員会が違反した企業名を公表することです。情報保護ができていない企業として公表されてしまうので、社会的、事業的に大きなダメージを受けることになるでしょう。 

もう1つは企業内の特定の個人が刑事罰を受けることです。1年以下の懲役の判決を受ける場合もあります。個人として刑事罰を受けるのは、絶対に避けたいことですよね。 

よってBtoC企業は真剣に対応せざるを得なくなりました。一方、BtoB企業ではどうでしょうか? まず、社員の個人情報が保護対象となります。社員の個人情報だけならばしっかり管理できそうですが、例えば取引先の相手と名刺交換をした時に得た情報はどういう扱いになるのでしょうか? 

名刺には氏名、企業、電話番号、電子メールアドレスなど、相手を特定し、連絡をするに足る情報が記載されています。よって、定義としては個人情報の扱いになります。ならば、その名刺を紛失したら、個人情報を漏洩した、あるいは、個人情報保護法に違反したということになるのでしょうか? 

この問いに明確に回答できない方は本コラムを読むことをお勧めします。 

BtoB企業では、情報セキュリティといえばISO27001に準拠したISMS(Information Security Management System)の活動を思い浮かべると思います。一方、個人情報保護に関してはJISQ15001があります。 

さらに最近では、情報セキュリティに加えて、サイバーセキュリティについても対応しなければならなくなってきました。情報セキュリティはISMSの活動で実施していましたが、サイバーセキュリティは従来のISMS活動で十分に対応可能なのでしょうか? この問いに明確に回答できない方も本コラムを読むことをお勧めします。 

ここからは、まず、個人情報保護法の話をしていきます。簡単にその歴史を振り返ると、法律が検討されることになった契機は2000年に制定された「個人情報保護基本法制に関する大綱」であり、それに基づいて2003年に法制化されました。 

その後はあまり進みませんでしたが、2015年に大きな改正がされ、この内容が2017年から施行されました。そのポイントは以下の5つに要約できるでしょう。 

第1は、個人情報の定義が明確にされ、差別を防ぐための要配慮個人情報という項目が設定されました。第2は、特定の個人を識別できないように情報を加工することに「匿名加工情報」という名称が与えられ、その方法が設定されました。 

第3は個人情報の保護の強化であり、例えば個人情報データベースを扱う事業者が不正に情報を入手する、あるいは、不正に第3者に提供して利益を得ることに対して罰則が設定されました。 

第4は、個人情報を守る公的機関として「個人情報保護委員会」が新設され、ここが全体を監視するとともに、国民の窓口として一本化されました。第5は、日本人の個人情報を取得した外国事業者にも国内法が適用されるようになりました。 

では、冒頭で述べた名刺の情報はどうなるのかと言えば、企業の一員が取引先と名刺交換で得た紙の名刺を紛失しても罪には問われません。

ただし、名刺情報に基づいて企業が事業に用いるデータベースを構築し、そのデータベースが盗まれた場合は個人情報保護法に抵触します。よって、その場合は急ぎ、個人情報保護委員会に報告しなければなりません。 

個人情報保護は法制化されているので、当然、守らなければなりませんが、そうは言っても具体的にどのように守るのかは分かりにくいですよね。そこで、「こうすれば守れますよ」というのがJISQ15001の規格です。 そう、JISQ15001は規格ですが法律に直結した規格なのです。 

プライバシーマーク(Pマーク)は、このJISQ15001の規格を遵守していることを社外に明示する証(あかし)です。このマークが効力を発揮する代表的な事業として、医療とか介護施設があると思います。 

私も個人的に介護する親を持つ身なので、この手の情報を気に掛け、いくつかの介護施設のホームページや施設を見ました。しかし、調査した範囲ではPマークもJISQ15001も取得している機関はありませんでした。 

おそらく、取得、維持にかかるコストが大きく、その取得から得られるメリットを上回っていると感じる事業者が多いためでしょう。製造業ではISO9001の取得はグローバルに仕事をするために必須ですし、メリットがコストを上回っていると思いますが、ローカルな事業ではそうではないのかもしれません。 

介護施設から個人情報が漏洩しやすいという話がネットや雑誌に出ているため、気になって実際の介護施設の状況を自分の目で観察しました。その結果、施設における要介護者へのサービス自体は非常に高いレベルにあることが分かってきました。

一方、個人情報保護の扱いについては不十分な印象を受けました。介護施設側はその重要性を理解しており、張り紙などで明示しています。しかし、認証を受ける所までは至っていませんでした。

また、業者によっては、パソコンのハードディスクにデータを保存されているにもかかわらず、そのハードディスクは暗号化されていませんでした。つまり、パソコンを盗まれたらデータも盗まれるということです。

さらに契約書においても、万が一、個人情報が漏洩した場合に、契約相手(利用者)への連絡義務などの記載もありませんでした。よって、色々な脆弱性があるのだなということに気付きました。

とは言え、介護設備を使う立場で考えると、そもそも個人情報保護で認証を受けている施設が見つからないので、目の前にある選択肢から選ばざるを得ません。

個人情報を提供しなければならない場面が当然でてくるのですが、その時には、仮に情報漏洩が発生してもこちらの被害が最小になるように、自衛するしか方法がないということです。 

さて、ここからは、いわゆるISO27001に準拠したISMSの話に移ります。ISMSはその名のとおり情報セキュリティマネジメントシステムですから、すべての情報が規格の対象であり、当然、個人情報も含んでいます。 

よって、これをしっかりやれば個人情報もカバーできるではないかと思いたくなります。ただ、前述したように個人情報は法律に直結しているのに対し、ISMSは法律とは直結していません。また、活動のメインは、個人情報よりも顧客情報や営業秘密、技術的なノウハウに重点が置かれている場合が少なくありません。 

そういう意味で、ISMSをしっかりやっていても、個人情報の保護の部分には脆弱性が残っている場合があるだろうと予想されます。 

さらに2年くらい前から、情報セキュリティに加えてサイバーセキュリティが言及される場面が増えてきました。ISMSはもともと文書情報を保護するための規格でした。今日、文書データはコンピュータ上に電磁的に保存されているのが当たり前です。 

文章情報がスタンドアローン環境のコンピュータに電磁的に保存されているだけならば、従来の規格でも対応可能でした。しかし、インターネットで世界中のコンピュータがつながってしまったため、その有効性は低下しています。サイバーセキュリティという考え方を追加する必要があるという方向に社会が変化してきました。 

たしかに、物理的に隔離できるものとネットワークでつながって隔離できないものを同じ土俵で議論するのは無理があります。しかし、サイバーセキュリティの対応方法が定まっていなかったので、多くの企業は困っていました。

ようやく2020年になって、サイバーセキュリティのための国際標準規格が作られ、ISO/IEC TS27100として発行されました。今後は、この規格にそって対応していくことになるでしょう。 

中身をみると、情報セキュリティとサイバーセキュリティは定義や対象が異なっており、別モノであることが分かります。 

情報セキュリティの定義は、「情報の機密性、完全性および可用性を維持すること」とされていますが、サイバーセキュリティは「サイバーリスクから人々、社会、組織および国々を守ること」とされています。 

また、情報セキュリティの対象は組織自身だけですが、サイバーセキュリティでは組織自身に加え、相互接続する人々や他の組織も対象となっており、より広い範囲の活動であることが分かります。 

サイバーセキュリティの規格化が進むと、その先には法制化が待っているように思われます。仮に法制化されれば、個人情報保護法と同様、情報を盗んだ側だけでなく情報を漏洩してしまった側も罰を受ける可能性が出てくるということです。 

サイバーセキュリティ対策として一番シンプルなのはデータの暗号化ですね。当社も所有パソコンのSSDとHDDのデータはすべて暗号化しています。一方、クラウド上にあるデータは暗号化されていません。というかクラウド会社が暗号化していません。

しかし、当のクラウド会社は危機感を持ちはじめているようです。その1つであるアップル社はクラウド上の情報を全て暗号化するという話をしはじめました。これは、クラウド会社側がどんなに注意しても、ユーザーの中にセキュリティ意識が低い人が少数でもいれば、悪意のある者がクラウド内のデータにアクセスするからでしょう。

個人的にはクラウド上のデータが暗号化されるのは望ましいことだと考えています。なぜなら、セキュリティリスクが下がるからです。ただ、国によってはクラウド上のデータ暗号化を好ましくないと考えている政府機関もあるようです。 

実際、入国の際に暗号化されたSSDやHDDを搭載したPCを国内に持ち込めない場合がありました。他方、コンプライアンス違反等の不正行為があった時の証拠も暗号化されることになるため、警察や検察が調査をしにくくなるという、デジタル・フォレンジック上の問題もあるようです。 この問題の方向性が定まるには少し時間がかかりそうです。

従来、中小企業の情報セキュリティは弱いとされてきました。しかし、意識の高い少人数企業と意識の低い人を数パーセント含む大企業を比較したら、どちらが脆弱でしょうか? 標的型攻撃という個人を攻撃する場合が増えていることを考慮すると、後者の方がセキュリティ的に脆弱な時代になってきたのではないでしょうか?