セキュリティインシデントが発生した企業には、発生したことを報告・通知する義務があります。報告義務を怠ると法的なペナルティを受ける可能性があるため、関係機関への適切な報告を行い、迅速に対応する準備を整えることが重要です。
本記事では、セキュリティインシデントの報告義務や報告先、対応すべきポイントについて詳しく解説します。
1. セキュリティインシデントとは
セキュリティインシデントとは、企業や組織の情報システムにおいて発生する不正アクセスやデータ漏えい、サービスの停止など、情報セキュリティに関する問題です。
セキュリティインシデントが発生すると、情報の損失や不正使用による経済的損害、顧客の信頼喪失など、重大な影響をもたらす可能性があります。これらのリスクを最小限に抑えるため、インシデント発生時の対応策を事前に整備しておくことが重要です。また、個人情報保護法では、個人データの漏えいが発生した場合、個人情報保護委員会への報告と本人への通知が求められています。
2. セキュリティインシデント発生時の対応
セキュリティインシデントが発生した際の対応の流れは以下の通りです。
- 初動対応
- 報告・公表
- 復旧・再発防止
それぞれの対応について詳しく解説します。
■初動対応
セキュリティインシデントの発生を確認したら、迅速に関係者に報告し、対応チームを招集します。被害拡大を防ぐためには、事前に対応手順を定めておくことが重要です。
次に、システムログや監視データからどのような情報が漏えいしたのか、どの範囲に影響が及んでいるのかを確認し、被害の範囲を特定します。その後、必要に応じてシステムの一部を停止したりネットワークから切り離したりする対策を講じ、さらなる情報漏えいやシステムへの侵入を防止します。
■報告・公表
セキュリティインシデントが発生した際の報告・公表は、企業にとって重要な義務です。一般的には、インシデント発生を確認したら速やかに報告を行うことが求められます。
報告先としては個人情報保護委員会や独立行政法人情報処理推進機構(IPA)があり、これらの機関に報告することで、適切な対応策の助言を受けられます。報告内容には、インシデントの概要や影響範囲、対応策などを含めることが重要です。
■復旧・再発防止
復旧においては、システムのバックアップを活用してデータを復元し、業務の継続を図ることが重要です。
再発防止策としては、インシデントの原因を徹底的に分析し、同様の事態が再び起こらないようにすることが求められます。例えば、システムの脆弱性を突かれた場合は、その脆弱性を修正するためのセキュリティパッチを適用することで今後の被害を防ぐわけです。また、従業員に対するセキュリティ教育の強化も重要です。実践的な研修を行うことで、意識とスキルの向上を図りましょう。
3. セキュリティインシデントの報告義務とは
情報漏えいやシステム障害などの情報セキュリティ上のインシデントが発生した際には、法令や契約、約款に基づき、適切な機関にその事実を報告する義務があります。報告義務を怠ると法的な罰則や企業の信用失墜につながる可能性もあるため、迅速な対応が必要です。
例えば、日本では個人情報保護法に基づき、個人データの漏えいが発生した場合に個人情報保護委員会への報告が義務付けられています。また、特定の業種では、業界団体や監督官庁への報告が求められることもあります。
4. 法令に基づくセキュリティインシデントの報告義務
法令に基づくセキュリティインシデントの報告義務は、以下の3つに分類されます。
- 個人データ漏えい時の報告義務
- 特定個人情報漏えい時の報告義務
- 業界別の報告義務
それぞれの報告義務について詳しく解説します。
■個人データ漏えい時の報告義務
個人情報保護法に基づき、個人データが漏えいした場合は、速やかに個人情報保護委員会へ報告する義務があります。個人データとは、個人情報データベース等を構成する個人情報です。報告を怠った場合には、企業に対する行政指導や罰則が科される可能性があります
|
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
|
報告には、漏えいの内容や規模、影響を受ける個人の数など、具体的な情報を含める必要があります。
【関連記事】
個人情報漏えい時の報告義務とは?本人への通知が必要な場合や具体例、手続きを解説
■特定個人情報漏えい時の報告義務
特定個人情報とは、マイナンバーが含まれる個人情報です。特定個人情報が漏えいした場合、マイナンバー法に基づき、速やかに個人情報保護委員会に報告する必要があります。
|
個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない。ただし、当該個人番号利用事務等実施者が、他の個人番号利用事務等実施者から当該個人番号利用事務等の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは、この限りでない。
|
報告の内容には、漏えいした情報の種類や件数、発生した原因、そして再発防止策などが含まれます。また、個人情報保護委員会への報告だけでなく、漏えいした情報の対象となる個人にも通知が必要です。
【関連記事】
特定個人情報とは?個人情報との違いや取り扱いに関する注意点を解説
■業界別の報告義務
業界別のセキュリティインシデントの報告義務は、各業界の特性や法令に基づいて異なります。例えば、金融業界では、金融庁が定めるガイドラインに従い、インシデント発生時には個人情報保護委員会や金融庁長官、財務局長、財務支局長又は都道府県知事に迅速に報告する必要があります。
参考:個人データ等の漏えい等が発生した場合、金融機関は個人情報保護委員会又は監督当局に報告する義務を負うか。「個人情報保護委員会」
また、医療業界では患者の個人情報が含まれるため、個人情報保護法に基づく報告義務があります。情報漏えいが発生した場合、速やかに関係機関への報告が必要です。医療情報は非常にセンシティブなため、報告の遅れは大きな問題を引き起こす可能性があります。
さらに、通信業界では、総務省が定める通信事業者向けのガイドラインに従い、サイバー攻撃などのインシデントが発生した場合には総務大臣への報告が義務付けられています。
|
電気通信事業者は、次に掲げる場合には、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告しなければならない。 一 第八条第二項の規定により電気通信業務の一部を停止したとき。 二 電気通信業務に関し次に掲げる事故が生じたとき。 イ 通信の秘密の漏えい ロ 第二十七条の五の規定により指定された電気通信事業者にあつては、特定利用者情報(同条第二号に掲げる情報であつて総務省令で定めるものに限る。)の漏えい ハ その他総務省令で定める重大な事故
|
鉄道分野においても、車両の運転中における事故や鉄道による輸送に障害が発生した場合、国土交通大臣への報告が義務付けられています。
|
鉄道事業者は、列車の衝突若しくは火災その他の列車若しくは車両の運転中における事故、鉄道による輸送に障害を生じた事態、鉄道に係る電気事故又は鉄道に係る災害であつて国土交通省令で定めるものが発生したときは、遅滞なく、事故の種類、原因その他の国土交通省令で定める事項を国土交通大臣に届け出なければならない。
|
上記のように、業界ごとに異なる法令やガイドラインに基づき、適切に対応することが重要です。
5. 契約・約款上のセキュリティインシデントの報告義務
法令に基づく報告義務がないものの、契約・約款上のセキュリティインシデントの報告義務があるケースは以下の通りです。
- 上場企業の適時開示義務
- 認定団体への報告義務
- プライバシーマーク取得企業の報告義務
- 契約に基づく報告義務
それぞれの報告義務について詳しく解説します。
■上場企業の適時開示義務
上場企業は、有価証券上場規程の規則に従い、株主の投資判断に大きな影響を及ぼす可能性があるセキュリティインシデントが発生した際に速やかに適切な情報を開示する義務があります。
■認定個人情報保護団体への報告義務
認定個人情報保護団体とは、個人情報の保護に関する法律に基づき、個人情報保護法の適用を受ける事業者の自発的な取組を促進することを目的として設立された制度です。
|
個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
|
認定個人情報保護団体は、個人情報取扱事業者に対して以下の業務を行います。
- 個人情報等の取扱いに関する苦情の処理
- 個人情報保護指針を遵守するための指導や勧告
- 個人情報等の適正な取扱いの確保に関する必要な業務
認定個人情報保護団体の対象事業者においてセキュリティインシデントが発生した場合、認定個人情報保護団体への報告が求められる場合があります。
■プライバシーマーク取得企業の報告義務
プライバシーマークを取得している企業は、以下のような個人情報の取り扱いに関する事故が発生した場合に、発覚した日から原則として30日以内に、審査機関に報告する義務があります。
- 漏えい
- 紛失
- 滅失・き損
- 改ざん、正確性の未確保
- 不正・不適正取得
- 目的外利用・提供
- 不正利用
- 開示等の求め等の拒否
事故報告は、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営するJIPDEC Pマークポータルサイト経由で行います。
■契約に基づく報告義務
業務委託契約書や機密保持契約(NDA)に明記された義務として、セキュリティインシデントが発生した際には契約の相手方に報告する必要があります。
セキュリティインシデント発生後、インシデントの概要や影響、対応策などを速やかに報告することが求められることが一般的です。報告の形式については、契約書で指定されている場合があります。
6. セキュリティインシデントの主な報告先
セキュリティインシデントの主な報告先は以下の3つです。
- 独立行政法人情報処理推進機構(IPA)
- 個人情報保護委員会
- JPCERT/CC
それぞれの報告先について詳しく解説します。
■独立行政法人情報処理推進機構(IPA)
独立行政法人情報処理推進機構(IPA)は、情報セキュリティ対策の推進を目的に設立された経済産業省所管の機関です。企業や組織がセキュリティインシデントを報告することで迅速な対応や情報共有が可能になり、同様の事例が他の企業で発生しないようにするための指針を提供しています。
また、IPAは報告を受けたインシデントの情報を匿名化して公開しており、他の企業も同様の脅威に対する警戒を強めることができます。報告する企業にとっては、情報漏えいやシステム障害の再発防止策を講じるための貴重なデータとなります。
■個人情報保護委員会
個人情報保護委員会は、個人情報保護法に基づいて設立された、個人情報の保護を監督する機関です。個人データの漏えいが発生した場合、個人情報保護委員会への報告が必要となります。報告を受けた後、個人情報保護委員会は企業に対して必要な指導を行い、再発防止策を求めることがあります。
個人情報保護委員会への報告義務が発生するケースは以下の4つです。
- 要配慮個人情報が含まれる場合
- 財産的被害が発生する恐れがある場合
- 不正目的による漏えいが発生した場合
- 大規模な漏えいが発生した場合
ただし、漏えいした情報が特定の個人を識別できない程度のものである場合、報告義務が発生しないことがあります。
■JPCERT/CC
JPCERT/CCは、国内外のセキュリティ機関と連携し、セキュリティインシデントに関する報告の受け付けやインシデント対応の支援、発生状況の把握、手口の分析、再発防止策の助言などを行う、特定の政府機関や企業からは独立した中立の組織です。
セキュリティインシデントの報告は、JPCERT/CCの公式Webサイトや電子メールで受け付けています。
7. まとめ
今回は、セキュリティインシデントの報告義務や報告先、対応すべきポイントについて解説しました。
セキュリティインシデントの報告義務を果たすことで、企業は社会的信用を守ることができます。セキュリティインシデントに関する十分な知識を身に付け、事前に準備を行い、スムーズな対応を心がけましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
