2022年4月 改正個人情報保護法 施行 見過ごしていないか! データの滅失・毀損対策

コラム
セキュリティ

「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日公布)が、2022年4月から施行されました。皆さんの会社では、もう対策はお済でしょうか。法律の改正に対応するというと、「言われたからやる」と捉え、「面倒くさい」というような義務感に囚われてしまいがちですが、今回の改正は、時代に即し必要なことをガイドしている側面も強いように思えます、この面からは積極的な取り組みが必要ではないでしょうか。

「個人情報保護」と言えば、「情報漏洩防止」一辺倒であった時代が長く続きましたが、今では、ランサムウェアやワイパーウィルスの脅威が増大し、情報そのものを失う危険性も増しています。本改正法では、個人データの漏えい、滅失、毀損についても報告義務が追加されています。ご存知でしたでしょうか。

1. 改正のポイント

今回の改正のポイントは以下の6点です。(2)事業者の守るべき責務のあり方では、漏えいだけでなく、データの滅失、毀損も含まれており留意が必要です。

(1)個人の権利の在り方
・6か月以内に消去する短期保存データも「保有個人データ」に含める。
・データの利用停止・消去を請求できる場面が拡大
*違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合等

(2)事業者の守るべき責務の在り方
・漏えい等が発生し、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人への通知を義務化
*漏えい等には、データの滅失・毀損も含まれます。

(3)事業者による自主的な取組を促す仕組みの在り方
・企業の特定分野を対象とする団体の認定団体制度を新設

(4)データ利活用に関する施策の在り方
・「仮名加工情報」を創設、データの利活用の促進

(5)ペナルティの在り方
・法廷刑の引き上げ
・法人への罰則強化

(6)法の域外適用・越境移転の在り方
・外国事業者を報告徴収・命令および立ち入り検査の対象とする。

2. 個人情報の滅失、毀損とは

本改正では、個人情報の滅失、毀損についても、委員会報告事項になっております。個人情報の滅失、毀損については、「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
に記載がありますので、以下に一部を引用・紹介します。

(1)「滅失」の考え方
個人データの「滅失」とは、個人データの内容が失われることをいう。

【個人データの滅失に該当する事例】
事例1)個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合
事例2)個人データが記載又は記録された書類・媒体等を社内で紛失した場合
なお、上記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。また、個人情報取扱事業者が合理的な理由により個人データを削除する場合は、滅失に該当しない。

(2)「毀損」の考え方
個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。

【個人データの毀損に該当する事例】
事例1)個人データの内容が改ざんされた場合
事例2)暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
事例3)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
なお、上記事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。

3. 徳島県つるぎ町立半田病院の事例

2021年10月末、徳島県つるぎ町立半田病院がランサムウェアの攻撃を受けました。これにより、電子カルテ等、病院内のデータが暗号化され、利用不能になり、その後、2か月間業務が滞り、令和4年1月4日に通常診療を再開しました。詳しくは、2022年6月16日 半田病院から「コンピュータウイルス感染事案 有識者会議調査報告書」が発表されていますので、確認頂ければと思います。この報告書によれば、「Lockbit2.0 というランサムウェア(身代金要求型ウイルス)に感染し、電子カルテシステム、医療事務システム等のファイルが暗号化され、さらに、そのバックアップのファイルも暗号化されてしまっていたため速やかな復旧ができなかった。」とのことです。

これは、まさに、重要な個人情報を毀損してしまった事例です。

図1 つるぎ町立半田病院 2021年10月末 ウイルス感染状況

ただ、2018年に電子カルテシステムの更新をしており、その時、取得したバックアップデータはオフラインであったため、無事であったということであり、今後のバックアップデータの残し方として示唆的でした。

これを受け、2021年12月31日には、厚生労働省が、電子カルテシステム等に、「予備のデータは独立して保管することを求める。」との見通しも報道(読売新聞)もされています。

4. 見過ごされてきた個人情報の「滅失、毀損対策」

今回の改正でも多くの重要な変更・追加ポイントがあります。特に、個人情報のあり方では、対象となるデータが増え、さらに、その棚卸、名寄せなど煩雑な作業が必要となります。また、個人からのデータの利用停止・消去もいつ申し入れがあるかも知れず、喫緊の課題となり対策の優先順位は最優先となります。

一方、滅失、毀損は、発生すれば、取り返しのつかないものですが、運がよければ発生しないかも知れないという考えがよぎり対策は後回しにされがちでした。そのような方々にも半田病院の事例は、他人事では済まないという認識を持たせた効果はあったことと思います。

5. 進化するランラムウェア、ワイパーウィルス

ランサムウェアと言えば、メールの添付ソフトに仕込まれてファイル開けば感染するという印象が強いため、感染するのは、PCやファイルサーバーだけと思われがちですが、電子カルテシステムなどデータベースファイルにも感染し、暗号化します。つるぎ町立半田病院の場合は、約8万5千人分の患者データを保有していたといいます。8万5千ファイルも暗号化したのかと思った方は、ちょっと待ってください。電子カルテシステムのデータは、表形式の大容量のデータベースファイルが数個あるのみなのです。攻撃するウィルス側からすれば、対象ファイルの数は多くないのです。さらに、Lockbit2.0 ランサムウェアでは、ファイルの先頭のみを暗号化することで、暗号化を高速に進める機能を持っているとのことです。

このように進歩したランサムウェアだからこそ、データベースファイルやそのバックアップデータを暗号化するのに長時間を要しなかったと推測できます。ワイパーウィルスの場合は、ディスク自体を使えなくするのですから、脅威はさらに、大きいです。

6. バックアップまで含めての削除の即時性とデータ保全性は相反する

個人情報保護法では、事業者は、個人から情報を削除することを求められることがあります。一方、データを失わないため(データ保全性を高めるため)には、バックアップが必要です。図2に示すように、利用系サーバー上は削除しても、ある一定期間は、バックアップデータの中には、削除した筈のデータも残ってしましいます。バックアップデータまで含めて、削除の即時性を求めてしまうと、操作ミスなどの場合もデータを復旧することができず、データを喪失する可能性が高まります。

さらに、ランサムウェア対策として、バックアップデータをオフラインとする場合、オフラインとしたバックアップデータにも削除した筈のデータが残りますので、漏れないような十分な配慮が必要です。

図2 個人情報利用システムのバックアップ

7. バックアップを重要視する

バックアップしたデータからの情報漏洩が心配だから、バックアップには注力しないという考え方は、本末転倒です。バックアップが重要だからこそ、利用系サーバーよりもより慎重に、手厚くウィルス対策を行う必要があります、オフラインとすることで、一旦、ウィルスの脅威からは切り離せます。しかしながら、今度は、物理セキュリティ、人手作業の部分で情報漏洩を起こす可能性もあるので、十分な対策が必要です。

8. 個人情報保護法への対応を複雑化している要因

個人情報保護法の適用範囲は広範です。例えば、町内会、・マンション住民の住所録といったものから電話の契約者情報や大手医療機関の電子カルテ情報などです。電話の契約者情報と同じ管理レベルを町内会に求めても現実的ではありません。すなわち、それぞれの規模や目的に応じ、適用方法を調整していくことが必要になります。

経済的なことも斟酌すれば、どんな規模、どんな用途でも使えるといった理想の個人情報保護対応システムは今のところ存在しておりません。そのため、各事業者は、アンテナを高くして、自社に適したソリューションを常に調査し、改善を考えていく必要があると言えます。

9. まとめ

ランサムウェアの脅威の増大があり、個人情報の毀損のリスクが高まっています。2022年4月施行の改正個人情報保護法においても個人情報の滅失、毀損は委員会への報告事項になっていることから、今後は、バックアップを重要視し、ランサムウェア対策としてのオフライン管理の利用も検討して頂く必要性が高まっています。そうは言っても、個人情報保護法の適用範囲は広範であるため、各事業者それぞれの利用規模、目的に合わせた対策を進めて頂ければと考えます。

関連記事