MaLion(マリオン)
情報漏洩対策+IT資産管理ツール
株式会社インターコム 営業部

個人情報保護法の改正で厳罰化も
人的要因が約90%!
情報漏洩対策は万全ですか?

2022年4月1日に改正個人情報保護法が施行されました。
改正に伴い、最大で1億円以下の罰金の支払いが命じられる可能性もあります。
外部からの攻撃による漏洩対策だけでなく、情報の持ち出しなどの内部不正対策は必須です。
ここでは「MaLion」で実現できる、組織内部からの情報漏洩対策についてご紹介します。

30日間無料・機能制限なしでお試しいただけます。無料評価版(オンプレミス版)無料評価版(クラウド版)
大きく変更になったのは2点

2022年個人情報保護法改正による変更点とは

個人情報保護法は2003年に成立し2015年に改正が決定しました。改正時に「3年ごとの見直し」が規定の中に盛り込まれています。これは、年数が経過し情報通信技術が発達することで、施工当時に想定されなかった事態を見越したものです。改正内容を確認することはもちろん、多様化する漏洩経路や情報セキュリテリスクを把握し、継続した対策を行う必要があります。

1.報告義務に関して

改正前
報告義務なし
漏洩の規模問わず、個人情報保護委員会への報告義務化
改正後
漏洩の規模問わず
報告義務化
一定規模以下なら個人情報保護委員会への漏洩時の報告義務なし
改正点の要約
個人情報取扱事業者は、個⼈情報の漏洩などが発⽣した際、個⼈情報保護委員会に報告し、本⼈に通知する義務を負う(個人情報保護法 第22条の2より)。

2.罰則に関して

改正前
法人への罰金は
最大50万円
法人に対する罰金額は行為者などと同じ法定刑
改正後
法人への罰金は
最大1億円
命令違反や虚偽報告を抑止するため法人に対する罰金刑を引き上げ
改正前後の比較
  • 法人による虚偽の報告など:【改正前】30万円以下の罰金 → 【改正後】50万円以下の罰金
  • 法人による命令違反:【改正前】30万円以下の罰金 → 【改正後】1億円以下の罰金
  • 修正法人による個人情報データベースなどの不正提供など:【改正前】50万円以下の罰金 → 【改正後】1億円以下の罰金
参考:改正個人情報保護法の一部施工に伴う法定刑の引上げについて
情報漏洩の3大原因

「紛失・置忘れ」「誤操作」「不正アクセス」が70%

「2018年情報セキュリティインシデントに関する調査報告書」によれば、近年、漏洩件数は減少傾向にあるものの、1件あたりの平均想定損害賠償額は増加しています。
情報漏洩の原因は「紛失・置忘れ」「誤操作」「不正アクセス」で70%を占めており、「誤操作」は常に発生、「不正アクセス」が増加しています。また漏洩する媒体・経路は、「インターネット・電子メール・USB」の比率が増加しています。

  • 個人情報漏洩インシデント
      2018年 年平均比較(2005年~2017年)
    漏洩人数 561万3,797人 1,381万7,110人
    漏洩件数 443件 1,231件
    想定損害賠償総額 2,684億5,743万円 5,340億1,627万円
    一件当たりの漏洩人数 1万3,334人 1万4,259人
    一件当たり平均想定損害賠償額 6億3,767万円 5億6,033万円
    一人当たり平均想定損害賠償額 2万9,768円 3万9178円
  • 「誤操作」は常に発生、「不正アクセス」が増加
  • 「インターネット・電子メール・USB経由」が増加、
    「紙媒体」による漏洩件数が最も多い
参考‐特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2018年情報セキュリティインシデントに関する調査報告書」
内部不正による情報漏洩

情報持ち出しの手口

内部不正は、退職する社員による情報持ち出しなど悪意のある場合や、働き方改革の一環である時間外労働の上限規制に伴って、業務時間内に完了できなかった仕事を持ち帰る場合も想定されます。従業員が短縮された業務を情報持ち出しによって対処しているのであれば生産性の向上と併せて対応を検討していくことが必要ではないでしょうか。

手口 内容
アクセス権限の悪用 付与された権限を悪用し、組織の重要情報を取得する。必要以上に高いアクセス権限が付与されている場合、より多くの情報が窃取され、被害が大きくなるおそれがある。
在職中に割り当てられたアカウントの悪用 組織を離職した者が、在職中に使用していたアカウントを使って、組織内部の情報を不正に取得する。
内部情報の不正な持ち出し 組織内部の情報を、USBメモリやHDDなどの外部記録媒体、電子メール、紙媒体、クラウドストレージなどを利用して、外部に不正に持ち出す。
参考‐独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2020」
組織における内部不正防止

内部不正を防ぐための検討事項

1.内部不正をできる状況をつくらない

誰がどの情報にアクセスするのか定め、どの媒体を使用するのかを制限します。

  • 重要情報の格付けをし、管理者を定める
  • 利用者IDやアクセス権の運用ルールを定める
    MaLionで運用ルールに沿った操作制限ができます
  • 入退去や外部デバイスの持ち出し持ち込みの管理、記録媒体の処分方法を定める
    MaLionで外部デバイスを管理できます
《MaLionでできる情報漏洩対策》

不正な操作を制限し、社内情報の漏洩を未然に防ぎます。また、不正操作の警告表示などによりセキュリティ意識の向上を図ります。

  • セキュリティポリシー設定

    セキュリティポリシーを設定して、クライアントPCの各種操作を制限します。ログインユーザー単位/PC単位/グループ単位/監視対象全体に対して、それぞれセキュリティポリシーの設定が可能です。

    セキュリティポリシー設定
    画像拡大

  • ポリシー違反者 警告通知

    セキュリティポリシーに反する行為を検出した際は、即警告画面を表示します。警告通知のメッセージについて指定することができます。

    ポリシー違反者 警告通知
    画像拡大

  • 外部デバイス監視

    USBメモリ、CD/DVDドライブ、Blu-rayドライブ、スマートフォンなどPCに接続する各種外部デバイスを監視します。セキュリティポリシーに沿って読み込みのみ許可したり、あるいはすべての操作を制限したりと各PC上でのデバイス利用を制御できます。

    外部デバイス監視
    画像拡大

  • その他監視機能

    • 送受信メール監視
    • 印刷操作監視
    • Webアップロード監視
    • 持ち出しPC操作監視
    • 共有フォルダー監視
    • ファイルアクセス監視
    • アプリケーションID監視

2.被害の早期検知

重要情報へのアクセス履歴および利用者の操作履歴などのログ・証跡を記録し、定期的に監視することで、早期検知に努めます。
また権限が集中しやすい管理者の操作ログを記録します。

《MaLionでできる情報漏洩対策》
  • 操作ログを収集し、「誰が」「どの情報に」アクセスしたのかを把握します
  • 持ち出しや編集などをしていないかを記録します

  • アクティブ ウィンドウ監視

    クライアントPCのアクティブ ウィンドウを監視します。実行しているEXEファイルのパスやウィンドウタイトル名をログ収集します。あらかじめ指定したウィンドウタイトル名などを基に制限をかけることもできます。クライアントPC上での作業状況を細かく監視することで、不正な操作を防止します。

    アクティブ ウィンドウ監視
    画像拡大

  • 管理者操作ログ

    各管理者が管理コンソール上で操作した内容をすべてログとして記録します。管理者権限を利用した不正行為に対する一定の抑止効果が期待できます。

    管理者操作ログ
    画像拡大

内部不正は、組織の運用ルールを周知したり、漏洩の原因になりやすい媒体を制限したりすることでリスクを低減できます。
日頃から従業員の操作の異常の傾向を把握し、重要な情報を持ち出させない対策を検討しませんか。

▲