昨年9月末のアサヒグループホールディングスへのサイバー攻撃は、システム障害により商品の出荷や供給に支障が生じ、人気商品がコンビニで品切れになるなど、多くの消費者に影響が及んだ事件でした。あわせて、個人情報を含むデータの漏えいの可能性も問題となるなど、サイバー攻撃が企業活動に多面的な影響を及ぼし得ることを改めて示す事例となりました。
サイバー攻撃による被害は、このような業務停止やサプライチェーンへの影響にとどまらず、顧客情報や取引先情報、従業員情報といった機密情報・個人情報の漏えいや不正利用といった形で顕在化することも少なくありません。ひとたびサイバーインシデントが発生すると、情報漏えいを契機に損害賠償請求や行政対応、企業の信用低下へと発展する例も多くみられます。
サイバー攻撃の発生は完全に防ぐことが困難である一方、発生時の影響は年々深刻化しています。そのため、多くの企業では、技術的・組織的なセキュリティ対策を講じたうえでなお残存するリスクへの備えとして、インシデント発生時の損失や対応コストをカバーする手段として、サイバー保険の活用が広がりつつあります。
一方で、多くの企業は、「データ利活用を推進したい」「でもプライバシーは守らなければならない」という相反する課題に直面しています。
本コラムでは、サイバー攻撃がもたらすこうしたリスク・課題を踏まえ、サイバー保険と個人情報保護の観点から、事業者が平時から整えておくべきデータ管理体制について概観します。
■ データ取得の目的を明確化すること
サイバー保険の加入者である事業者は、通常の事業活動の中で取得・蓄積している顧客情報や従業員情報、通信ログ等のデータを前提として、サイバーリスクに備えています。
これらのデータは、保険の引受時にリスク評価資料(通常は非個人情報)として提供されるほか、インシデント発生時には、損害調査や復旧対応のために、個人情報を含む形で保険会社や調査会社等の外部関係者に共有されることがあります。
個人情報保護法(以下単に「法」といいます。)では、
①個人情報の取扱いにあたり利用目的をできるだけ特定し(法17条1項)、
②取得する場合、利用目的を事前公表しておくか、取得後速やかに本人へ通知又は公表すること(法21条1項)、さらに、
③保有個人データについては、利用目的を本人の知り得る状態に置くこと(法32条1項2号)
などが定められています。
個人情報の利用目的は、サービス申込書や申込画面等において取得の際に本人へ明示・通知することで足りる場合も多いものの、利用目的を一覧的かつ継続的に確認できるよう、プライバシーポリシー等の形で文書化し、顧客が容易に確認できるよう、ウェブサイト等にてアクセス可能にしておくことが望ましいといえます。
プライバシーポリシー等は、新規事業の開始や法令の改正に伴い利用目的その他の記載の変更が必要でないか、随時ご検討いただく必要があります。更新漏れにより、利用目的が告知できていなかった、第三者提供同意が取れていなかったといった事象は起きがちですので、プライバシーポリシー等は作成して終わりではなく、定期的な管理を行っていくことが重要です。
また、個人情報の収集は、必要最小限に留めることが望ましいといえます。収集のための理屈がつけられる個人情報があれば、追々何かに使えるかもしれないと収集してしまいたくなるかもしれません。
しかし、必要性の低いものを収集することは、余計な管理の手間や漏えいリスクを増すばかりで、結局役にも立たないことが多いものです。
「何かに使えそうだから/心配だから、とりあえず集めておこうか」と、利用目的との関係で必要性や合理性を欠く形で、将来の利用を想定して広く個人情報を収集するような運用は、法令違反のリスクがあるとともに、顧客の信頼低下につながりかねないため避けるべきです。
■ 緊急時の対応のため、平時の準備が必要
実際にサイバー攻撃が発生すると、被害の原因究明や被害拡大防止、対外対応のため、フォレンジック事業者、法律事務所、CSIRTベンダーなど複数の外部事業者が関与し、被害事業者が保有する顧客情報や従業員情報等にアクセスする必要が生じます。
他方で、こうした外部への情報共有は、提供の態様によっては個人データの第三者提供に該当し得るところ、そのような場合には、本人の同意が必要です(法27条1項柱書)。
例外として、
・生命・財産保護のため緊急で同意取得が困難な場合(同項2号)
・委託先への提供の場合(同条5項1号)
には、本人の同意なく提供することが認められています。
実際のインシデント対応においては、外部事業者への提供は委託先への提供と整理できる場合が多いですが、その場合は委託先の監督義務(法25条)が課されることに注意が必要です。
このような法的制約を踏まえると、サイバー攻撃に備え、事故対応を委託するフォレンジック事業者やCSIRTベンダー等との間で、あらかじめデータの共有範囲・目的・削除手順を契約に明記しておくことが重要といえます。
サイバー保険においては、インシデント発生時に、保険会社や外部ベンダーとどこまでどのようにデータを共有できるかについて事前に整理されているかどうかが、円滑な保険金請求を左右します。
インシデントは多かれ少なかれ想定外の事態ですので、こうした場面における対応手順を平時に整備し、定期的な研修等によって社内への浸透を図っておくことで、インシデント発生時により重要な経営判断や復旧作業へ注力することが可能になります。
なお、緊急対応の過程で集めた個人情報も、目的が達成されれば速やかに削除することが求められます(法22条)。インシデントを糧に検証や再発防止策の検討を行い、個人情報の管理体制をブラッシュアップすることは重要ですが、その範囲を超えた事後的な利用には注意する必要があります。
■ 透明性あるデータ管理による信頼構築
サイバー保険では、引受から事故対応・再発防止支援まで、保険会社・契約者・外部委託先の間を大量のデータが行き来します。
そのため、「誰が、どのデータを、いつまで使えるのか」、自社のデータのライフサイクル(取得⇒保管⇒利用⇒削除)を業務プロセスごとに整理し、社内規程や委託契約に落とし込んでおくことが重要です。
社内規程には、「個人情報の利用範囲・保管場所・アクセス権限」に関する規定を設け、「どのデータが、どこに保管され、誰がアクセスできるのか」につき、セキュリティには配慮しつつ、適切な部門・担当者が容易に把握できるようにしておくのがよいでしょう。
また、外部事業者との委託契約には、再委託の可否や監督方法、削除手続きに関する規定を整理すること、データの保存期間と削除ルールを明確にすることなどが、透明性を高める上で有効です。
サイバー保険は、インシデント発生時の経済的負担を軽減する有効な手段ですが、その前提として、適切なデータ管理と個人情報保護体制が不可欠です。
サイバー保険やデータ管理体制の見直しをお考えの企業の皆様におかれましては、自社のリスクプロファイルに合った形で、関連法令・ガイドラインを踏まえながら、専門家の助言を受けつつ検討を進めていただくことをお勧めします。