これだけは押さえておきたいサイバーセキュリティ対策

ついに始まる個人情報保護法、機密情報を守るためには

タイの個人情報保護法

タイ国内のすべての法人が適応対象となる個人情報保護法／Personal Data Protection Act（略称：PDPA）が、2019年の発表からコロナ禍の影響による延期を経て、22年６月に施行されることが決まりました。

併せて、個人情報の定義やガイドラインを発行する監督機関に相当する個人情報保護法委員会がまもなく発足し、具体的な対応方法が明確になる見込みです。

当社では法的なアドバイスはできかねますが、法律の共通解釈として、企業に対する個人情報管理責任者の設置、データマッピング、各種社内規定、 サイバーセキュリティ対策の整備、記録フォーマットの整備、及び漏えい時の制限時間内の報告といった義務が新たに生じることになります。

これらに対して違反をした場合、罰金や懲罰刑も科されることから、社会的信用への影響も考慮すると特に、在タイ日系企業においては軽視できないものとなっています。

本稿掲載時点では、ほとんどの法律の対応に関してガイドラインの発行を待つ必要があると思われますが、今回はサイバーセキュリティの観点から押さえておきたいポイントとして、サイバーセキュリティ対策の整備、記録フォーマットの整備、及び漏えい時の対策の準備について解説します。

情報漏えいはどこから起きる？

昨今、個人情報を含めた企業間の情報交換に関して、９割以上がITシステムを介したやり取りかと思いますが、個人情報の取り扱いについては、より慎重かつ厳重な対応が法的に求められることになり、企業のサイバーセキュリティ対策の重要度が一層高まっています。

情報漏えいと言われると、前号・前々号でご紹介させていただいた外部脅威、ハッカーなどの外部攻撃を想像しがちです。

もちろん、外部脅威対策は必要不可欠ですが、同時に内部脅威に関しても対策は必須です。

IPAがまとめた「情報セキュリティ10大脅威 2022」（図表１）では、内部不正による情報漏えいと不注意による情報漏えい等の被害が過去数年に亘り上位にランクインしています。情報そのものに価値がある時代になったからこそ、“悪意のある”情報漏えいが発生することも事実であり、元従業員による顧客情報の不正持ち出しや、廃棄予定のHDDから復元した顧客情報の転売など犯罪行為に関連したニュースを目にする機会も増えています。

また、悪意のない“うっかりミス”からも情報漏えいに繋がる事故が多く、パソコンの紛失や設定ミスから顧客情報をネット上に誤って公開してしまうなど、普段の運用時から情報漏えいのリスクは潜んでいます。

併せて、コロナ禍を機にWFH（ワークフロムホーム）を実施する企業が増え、オフィスに比べ周囲の目がないことから、システム的にも心理的にも不正行為を行いやすい環境となっているため注意が必要です。

ソフトウェア管理による抑止

個人情報を含む機密情報の取り扱いについては、内部不正・外部不正どちらも対策が必要です。IPAの調査結果によると、従業員にとって内部不正への気持ちが低下する対策として、過半数が社内システムの操作の証拠が残るを回答しています。

当社は、京セラグループのMOTEX社が開発・販売を行っているソフトウェア・LanScopeのASEAN地域統括代理店です。LanScopeは、すべてのパソコンの「いつ、どこで、誰が、何を、どこに、誰に」といったログ（証跡）を強制的に保管することができるソフトウェアで、PCの操作履歴を取得することにより、テレワークで管理が難しくなった働き方の可視化や、USBなどの外部メディアの利用制御といった、必要に応じたカスタマイズが可能です。

今後は、外部脅威・内部不正からの情報漏えいに対する事前予防に加えて、仮に漏えい事故が起きてしまった場合に、漏えい箇所特定のための調査時間短縮を目指し、全ての操作ログが整理され、すぐに閲覧できる状態にしておくことが企業のサイバーセキュリティ命題になると思われます。

LanScopeはクラウド版の提供もあり、短期間での導入が可能です。個人情報保護法の施行まで残り数ヵ月、サイバーセキュリティ対策についてお困りのお客様はお気軽にご相談ください。