1 近年の情報漏洩事故について

東京商工リサーチ*によると、2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社(前年比25%増)、事故件数は165件(同20.4%増)となり、2012年の調査開始から2年連続で最多を更新しました。中でも、深刻化する不正アクセスやウイルス感染などのサイバー攻撃は165件のうち91件(約55%)と半数以上を占めて全体の件数を押し上げました。そのような状況下において、有価証券報告書にサイバーリスクを開示している企業も93%となっていますが、サイバーリスクへの備えは不十分な企業が多いという実態があります。

個人情報漏洩やサイバーリスクが増加している背景には、ロシアのウクライナ侵攻によってサイバー攻撃が激化している現状と共に、コロナ禍におけるテレワークの浸透等も考えられますが、今後はチャットGPTのような新しい情報技術の活用による情報漏洩も増える事が想定されます。また、改正個人情報保護法による企業責任の増加やサプライチェーンを巻き込んだサイバーテロ等によって、被害を受けた企業の損失額も大きくなっています。今回は、深刻化する情報セキュリティの中でも、サイバーテロによる個人情報漏洩に焦点を当てて解説をさせて頂きます。

*【出典】株式会社東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」より

2 個人情報保護法の改定について

2022年4月1日に改正個人情報保護法が施行され、本人の権利保護が強化され、事業者の責務が追加されると共に、法令違反に対するペナルティが強化されることになりました。追加された事業者の責務の一つに情報漏えい時の報告義務があり、漏洩等が発生し、個人の権利利益を害する恐れがある場合に、個人情報保護委員会への報告と本人への通知が義務化されました。報告の対象事案としては、要配慮個人情報が含まれる事態、財産的被害が生じるおそれがある事態、不正の目的をもって行われた漏えい等が発生した事態、1,000人を超える漏えい等が発生した事態の4つのケースとなります。また、法令違反に対するペナルティが強化され、個人情報保護委員会からの命令に対する違反や個人情報データベース等の不正提供等の場合は法人に対して最大で1億円の罰金が科せられることになりました。この個人情報保護法の改正により、企業が個人情報を漏洩した場合のリスクが大きくなったことは間違いありません。

3 情報セキュリティについて

情報セキュリティマネジメントシステムに関する国際規格(ISO/IEC27000)では、情報セキュリティは「情報の機密性、完全性、及び可用性を維持すること」と定義されており、情報セキュリティリスクはその特性が阻害される可能性とされています。機密性とは、認可されたものだけが情報にアクセスできる状態を指します。次に完全性とは、情報が改ざん、破壊されることなく、正確・完全である状態を保持する事を示す特性です。最後の可用性とは、正当な権利・権限を持った者が、必要な時に情報にアクセスできる事とされています。個人情報の漏洩は正に機密性が確保されなかった状態という事になりますが、最近のサイバーテロは、パソコンをロックして可用性を阻害した上で身代金を要求し、支払わない場合は情報を拡散したり、認可されてないものが情報にアクセスできる状態にして機密性を損なわせたり、データを破壊して完全性を失わせるなど、全ての特性に影響を与える可能性があります。

情報セキュリティの定義|機密性・完全性・可用性

4 様々なサイバーリスクについて

サイバーリスクとは、コンピューターシステムやネットワークに悪意を持った攻撃者が不正に侵入し、データの搾取・破壊や不正プログラムの実行を行うことですが、2023年度の情報セキュリティの10大脅威では、1位がランサムウェアと言われる被害者のファイルを暗号化し、復旧するために身代金の支払いを要求する身代金要求型のサイバーテロでした。2位はサプライチェーンの弱点を悪用した攻撃であり、近年では自社がサイバー攻撃を受けて被害にあうだけではなく、脆弱性の高い取引先が攻撃を受けて、サプライチェーン全体に被害が及ぶケースが出てきているため、注意が必要です。3位は対象組織から情報を盗む事等を目的として、ウィルスを電子メールで送りつける標的型攻撃による機密情報の窃取であり、4位が内部不正による情報漏洩、5位がテレワーク等のニューノーマルな働き方を狙った攻撃となっています。

情報セキュリティ10大脅威 2023

【引用】情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2023」

URL:https://www.ipa.go.jp/security/10threats/10threats2023.html

サプライチェーン攻撃とは

5 サイバーリスクの影響と対応について

サイバーリスクの影響としては、システム障害による復旧費用や停止時の機会損失、データ漏洩による顧客等への賠償金や法令違反があった場合の罰金等が考えられます。また、風評被害による株価の下落や顧客・取引先の減少、ハッカーからの身代金の要求や被害の調査費用、システムの刷新費や対外的な広報活動等も必要になるため、非常に大きな損失となります。サイバーリスクの事前対策としては、先ずはOSやソフトウェアを常に最新の状態にし、ウイルス対策ソフトを導入して組織内に入れないようにすると共に、入った場合もウイルスを活動させないことが重要です。また、情報管理の強化を行い、教育・訓練を通して脅威や攻撃の手口について社内で共有することも重要です。事後対策としては、サイバー攻撃を受けた場合の緊急時対応の手順書の作成や手順書に基づいた役職員への教育・訓練の実施が必要ですが、近年ではサイバー犯罪の知見が乏しい被害企業に代わり、時間の引き延ばしや要求額の引き下げを試みる「交渉人」を活用するケースもあるようです。しかし、サイバー攻撃は日々進化しており、コントロールに限界があることを考えると、最後の手段として、巨額の損失に備えたサイバー保険への加入が必要不可欠と考えられます。

情報漏洩・不審なメール・ウイルス感染など、今すぐご相談されたい方
SOMPO サイバーインシデントサポートデスクへご連絡ください!

SOMPOサイバーインシデントサポートデスク

以上(2023年6月)

sj09079
画像:photo-ac

提供:ARICEホールディングスグループ( HP:https://www.ariceservice.co.jp/
ARICEホールディングス株式会社(グループ会社の管理・マーケティング・戦略立案等)
株式会社A.I.P(損保13社、生保15社、少額短期3社を扱う全国展開型乗合代理店)
株式会社日本リスク総研(リスクマネジメントコンサルティング、教育・研修等)
トラスト社会保険労務士法人(社会保険労務士業、人事労務リスクマネジメント等)
株式会社アリスヘルプライン(内部通報制度構築支援・ガバナンス態勢の構築支援等)

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です