AssetView

IT資産管理ソフト『AssetView』TOP > こんなお悩みに > 個人情報漏洩対策

個人情報漏洩対策

相次ぐ個人情報、機密情報の漏洩事件。
個人情報漏洩を防ぐ情報管理体制にするために必要な
ステップや情報漏洩対策とは?

企業や組織からの大規模な個人情報漏洩事件が頻繁に起きています。個人情報漏洩が起こってしまった場合の損害賠償額については、一人の個人情報漏洩につき数百円から数万円までありさまざまです。また、個人情報漏洩の影響範囲は経済的な損失だけにとどまらず、企業や組織の信用やイメージを損ない悪影響を及ぼします。個人情報、機密情報の保護は、情報漏洩を防ぐためだけでなく、企業や組織を守ることにつながっています。情報利用者のセキュリティ意識向上、システム的な対応を組み合わせて個人情報漏洩対策が重要です。

関連リンク 情報漏洩の原因と対策について解説 情報漏洩が及ぼす影響とは?

個人情報漏洩対策に必要な製品

個人情報漏洩対策フロー

STEP 1個人情報、機密情報の棚卸をして重要情報の保管先を把握する

IクライアントPC上にある個人情報、機密情報を棚卸

クライアントPCに保存されているファイルの中身をチェックします。個人情報や機密情報に該当するファイルの保持状況をリスト化してリストをベースに、重要な情報が適切に管理されているかの確認をします。

個人情報、機密情報ファイル取得項目

対象のマシン
検出されたファイル数
ファイル名
個人情報/機密情報/特定個人情報 の区分
ファイルパス
ファイルサイズ
ファイル作成日時
ファイル更新日時

画面

さらに、個人情報や機密情報を含むファイルとして検出されたファイルに対し、「隔離」、「削除」、「完全削除」などの操作が行えるため、社内のポリシーにあわせた運用が可能です。

ファイルに対して行える操作

「隔離」:指定した個人/機密情報ファイルをユーザーからアクセスできない場所に隔離することが可能です。
「削除」:指定した個人/機密情報ファイルを削除することができます。
「完全削除」:指定した個人/機密情報ファイルを削除すると同時に、ディスク上からデータの痕跡を消し去ることで、復元ツールなどを利用しても該当のファイルを復旧できないようすることが可能です。
「対象外」:次回検索時から、個人/機密情報として扱わないようにするファイルを指定することができます。

STEP 2個人情報、機密情報ファイルの操作を検知して利用者に通知する

M I個人情報、機密情報ファイル操作時の検知、警告

ファイル操作時にファイルの中身に個人情報、機密情報が含まれていないかをチェックします。個人情報、機密情報が含まれていた場合にはクライアントPCのデスクトップに警告メッセージを表示させて利用者への注意喚起ができます。

画面

利用者に注意喚起を促すことで、個人情報や機密情報が含まれる重要なファイルを操作しているという意識付けを行えるため、セキュリティ意識の向上にもつながります。

STEP 3個人情報、機密情報ファイルを自動で暗号化する

I K個人情報、機密情報の棚卸し時に自動でファイルを暗号化して守る

暗号化

M I K個人情報、機密情報ファイル操作時に自動でファイルを暗号化して守る

暗号化

AssetView K のファイル暗号化機能と連携することで、利用者が意識しなくても、個人情報、機密情報を含むファイルを自動で暗号化することができるため、セキュリティの強化が行えます。

個人情報漏洩対策パッケージ製品

「セキュリティパッケージ」は、個人情報漏洩対策に特化した3つのソフト、PC操作ログ管理『AssetView M』、個人情報検索『AssetView I』、デバイス制御『AssetView G』をセットにした、お得なパッケージです。ファイル暗号化『AssetView K』の追加で、さらに高セキュリティな個人情報漏洩対策が可能。

!「個人情報漏洩保険」に加入しているから大丈夫!と思っていませんか?

「個人情報漏洩保険」とは?

個人情報の漏洩またはその恐れが発生し、会社等が法律上の損害賠償責任を負担することによって被る損害や、謝罪関連(広告掲載・会見)費用・お詫び状作成費用・見舞金(品)費用・危機管理コンサルティング費用等の事故対応のために支出した費用損害を補償するものです。契約によって、関連会社や業務委託先の会社を対象にすることもできます。
一般的には「賠償責任部分」と「費用損害部分」の2部構成となっていて、保険会社によって異なりますが、それぞれ以下のようなものが対象になります。

■賠償責任部分

保険期間中に、個人情報の漏洩またはそのおそれについて、日本国内において被保険者である企業が損害賠償責任を負うことになった場合に、対象となる損害に対して保険金が支払われます。

<対象例>
①法律上の損害賠償金
②争訟費用
③損害防止軽減費用
④緊急措置費用
⑤協力費用
※保険会社によって異なります。

■費用損害部分

保険期間中に、個人情報の漏洩またはその恐れが発生し、その事実が公的機関への報告やメディアにでの発表・報道によって客観的に明らかになった場合に、被保険者が事故対応期間内に生じた所定の個人情報漏洩の対応費用を負担することにより被る損害に対して保険金が支払れます。

<対象例>
①謝罪広告掲載費用
②会見費用
③事故対応・解決費用
④見舞金・見舞品購入費用
⑤コンサルティング・弁護士報酬費用
※保険会社によって異なります。

上記からわかる通り、「個人情報漏洩保険」は損害賠償額、その後の対策費用に関する保険であり、情報漏洩が発生したことに伴う企業の信用失墜や顧客離れ、株価の下落による事業危機に対する補償は対象外です。
根本的に個人情報漏洩を防げないため、原因を把握し個人情報漏洩を未然に防ぐことが重要です。

個人情報漏洩による影響、損失

万が一、個人情報漏洩が発生した場合は経済的な損失だけでなく、社会的な信用も失墜します。
リスクの高い個人情報、機密情報の取り扱いを徹底する情報管理体制が必要です。

情報漏洩した際に企業が抱えるリスク

  • 社内の重要情報(製品情報・研究成果等)が競合他社へ流出し優位性を保てなくなる
  • 自社顧客の個人情報漏洩により社会的信用を失う
  • 個人情報漏洩により社員のデータが外部に漏れてしまうことで、社員の生活の安全を守れない可能性がある
  • 漏洩事故を起因とする損害賠償請求が発生した場合、経営負担が大きい(倒産に至る可能性)

リスク

個人情報漏洩の主な原因

個人情報漏洩の原因の割合は以下の通りです。

グラフ

出展:株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年)」より

1位:ウイルス感染・不正アクセス(49.5%)
情報漏洩例:マルウェアへの感染や、脆弱性をついた不正アクセスによる情報漏洩
対策例:高精度のマルウェア対策製品導入、WindowsUpdate、ソフトウェアの最適化(脆弱性対策)、社内重要データの暗号化 など

2位:誤表示・誤送信(31.0%)
情報漏洩例:メールの送信間違いなどの人為的ミスが中心
対策例:メール添付の際のファイル暗号化 など

3位:紛失・誤廃棄(13.5%)
情報漏洩例:保管しておくべき必要書類や記録メディアを廃棄していたことが社内調査などで判明
対策例:外部デバイスの制限、持ち出しファイルの暗号化 など

改正個人情報保護法のポイント

【 背景 】

個人情報保護法は平成15年に制定(平成17年全面施行)されましたが、平成27年改正法において情報通信技術の進展が著しいことなどから、3年ごとの見直し規定が設けられました。
令和2年6月(2020年6月)に公布され、令和4年4月(2022年4月)に施行される今回の改正法では「個人の権利利益の保護と活用の強化」「越境データの流通増大に伴う新たなリスクへの対応」「AI・ビックデータ時代への対応」などの視点で見直しがされました。

【改正の概要 】

  1. 1、個人データに関する個人の権利の在り方

    利用停止・消去等の個人の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも拡充する。

    保有個人データの開示方法(現行、原則、書面の交付)について、電磁的記録の提供を含め、本人が指示できるようにする。

    ・個人データの授受に関する第三者提供記録を、本人が開示請求できるようにする。

    ・6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。

    ・オプトアウト規定により第三者に提供できる個人データの範囲を限定し、
    ①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。

  2. 2、事業者の守るべき責務の在り方

    ・漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告及び本人への通知を義務化する。

    違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。

  3. 3、事業者における自主的な取組を促す仕組みの在り方

    ・認定団体制度について、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野(部門)を対象とする団体を認定できるようにする。


  4. 4、データ利活用に関する施策の在り方

    ・イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。

    ・提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。

  5. 5、ペナルティの在り方

    ・委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。

    ・命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(法人重科)

  6. 6、法の域外適用の在り方及び国際的制度調和への取り組みと越境移転の在り方

    ・日本国内にある者に対する物品又は役務の提供に関連して個人情報等を取り扱う外国事業者を、 罰則によって担保された報告徴収・命令の対象とする。

    ・外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
  7. 出展元:個人情報保護委員会「個人情報保護法 令和2年改正及び令和3年改正案について」
    https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf


個人情報漏洩対策の課題

個人情報、機密情報の管理を行いたいが、
『ファイル名だけ』では見分けがつかず所在の確認ができない。

個人情報、機密情報の取り扱いについての教育を行ってはいるが、
形骸化している。システムと連動したセキュリティ意識向上を図りたい。

個人情報、機密情報を、
利用者が意図せず外部に情報漏洩してしまうリスクを減らしたい。


     
sp 
業種・規模問わず様々な企業様に
ご導入いただいております
Panasonic
Kawasaki
山形市役所
西東京市役所
デジタル・アドバタイジング・コンソーシアム株式会社
株式会社ドン・キホーテ
株式会社トライアルカンパニー
学校法人 慶應義塾
学校法人 拓殖大学
JA広島総合病院
地方独立行政法人 堺市立病院機構 堺市立総合医療センター
Panasonic
Kawasaki
山形市役所
西東京市役所
デジタル・アドバタイジング・コンソーシアム株式会社
株式会社ドン・キホーテ
株式会社トライアルカンパニー
学校法人 慶應義塾
学校法人 拓殖大学
JA広島総合病院
地方独立行政法人 堺市立病院機構 堺市立総合医療センター
ITreview Grid Award
2022 Spring「Leader」を
7部門で受賞!
  • IT資産管理
  • ログ管理
  • 統合
    運用管理
  • MDM/EMM
  • WEB
    フィルタ
    リング
  • アンチ
    ウイルス
  • DLP
お電話でのお問い合わせも受付中 平日9:00〜12:00 | 13:00〜17:00(休業日を除く)
0120-922-786

携帯電話からは03-5291-6121