サイバー攻撃とその被害が絶えない。会社の規模を問わず、企業に与えるダメージも深刻化している。
２０１８年９月から２０１９年１月にかけて、神戸大学と大阪商工会議所、東京海上日動が中小企業３０社を対象に行ったサイバー攻撃の実態調査によると、３０社すべてにおいて何等かの不正な通信があった旨を示すアラート（警告）の記録（ログ）が残った。つまり、事業規模を問わずインターネットを使用する企業は、深刻なサイバー攻撃のリスクに晒され続けているということである。

サイバー攻撃による被害の一つは情報の搾取。
逆説的に言えば、「企業は情報を搾取された結果発生する情報漏洩」を防ぐために、万全の備えをしておくことが〝当たり前〟のように求められる社会状況が到来しつつある。
なぜなら、いくらサイバー攻撃を仕掛けた犯罪グループが悪いと非難したところで、一旦情報漏洩を起こせば、企業の管理体制についての検証は免れられないからである。
そして、その結果は即、ブランドイメージに直結する。つまり、「日本におけるサイバー攻撃の常態化を知っておきながら、なぜ対応していなかったのか」という顧客目線に晒されるということである。

また、個人情報は多様な性格を持つ。
例えば「クレジットカード情報」などは主に経済的な損失をもたらすのに対して、「センシティブ情報」がネット上に流出した場合は、長期間に渡る「精神的苦痛」をもたらす可能性もある。
この場合は相手の心情を鑑みれば、示談交渉も複雑な過程を経ることになるであろう。

さて、サイバー攻撃が深刻化する日本であるが、実は来年春に法律で大きな動きがある。
「改正個人情報保護法」の施行である。
では、「改正個人情報保護法」とは一体何なのか？この点、東京海上日動が「サイバー空間の情報ラウンジ」として、無料で一般に公開しているＷｅｂサイト「Tokio Cyber Port（ https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s ）」に掲載された記事より、抜粋してポイントを確認したいと思う。

TMI 総合法律事務所パートナー弁護士でTMI プライバシー ＆ セキュリティコンサルティング株式会社 代表取締役の大井 哲也 氏は指摘する。

特に、改正法のもとでは、個人情報漏えい事件が発生した場合の個人情報保護委員会への報告及び通知の法的義務化、個人データ＊1の適正な利用目的の明確化、個人情報の利用停止や消去請求について個人からの権利行使対応などの義務を負うこととなる（＊1 本稿では法律上の概念の違いから、個人情報は生存する個人に関する一つの情報、個人データはデータベースなどを構成している一つの情報として使い分けている）

その上で、「企業の義務の厳格化」について、次のように指摘する。
改正法では、事業者の義務を厳格化しているが、特に事業者の個人情報管理体制への影響が最も大きい要求事項が、個人情報漏えい時における報告及び通知義務である。
（1）個人情報漏えい時における報告及び通知の法的義務化
現行法では、個人情報の漏えいなどの事案の報告義務は、個人情報保護法上の義務ではなく、平成29年個人情報保護委員会告示第1号「個人データの漏えい等の事案が発生した場合等の対応について」において定められた「努力」義務であったが、改正法では、個人情報の漏えいなどが発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び被害者本人への通知を「法的」義務化した。

具体的には、一定数以上の個人データの漏えい（数量基準）や、要配慮個人情報の漏えいやサイバー攻撃による漏えいなど一定の類型に該当する場合（類型基準）において報告義務を負うものとし、報告内容としては、漏えいなどの事案の概要、原因、再発防止策などが予想されるが、詳細は、個人情報保護委員会規則によって今後、明確化される予定である。

なお、改正法においては、GDPR（General Data Protection Regulation、EU 一般データ保護規則）など海外の個人情報保護法令に見られる72時間以内などの報告の期限設定はなされておらず、「速やか」に報告することが要求されるにとどまる。

（2）個人情報漏えい事案の対応体制
企業としては、上記のような個人情報漏えい時における報告及び通知義務を果たすためには、平時からの情報漏えい事案発生時の対応体制の整備が必須となる。いかに万全なセキュリティ体制を実装してもセキュリティ事案を完全に封じ込めることは困難であり、事案発生の有事にいかに被害の拡大を防止し、速やかにリカバリーショットを打てるかが鍵となる。そして、この事案対応は、企業の情報システム部のみが担うのではなく、法務・人事・広報などの管理部門も有機的に一体となり、足並みを揃えた対応が要求される。また、企業において個人情報漏えい事案対応経験が豊富な社内リソースがないことが通常であることから、スピーディーかつ適切な初動対応を可能とするべく情報漏えい事案対応の現場経験豊富な外部専門家を対応チームのメンバーとして組成する必要がある。

■出典：『個人情報保護法2020年改正のポイントと企業が構築すべき個人情報管理体制』
（ https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail85 ）

「個人情報漏えい時における報告及び通知義務」
これだけでも企業にとって大きな法改正であるが、私は同氏の指摘より加えてさらに以下２点も紹介したい。

• 現行法では、個人情報保護委員会の命令違反の罰則は、６ヶ月以下の懲役又は３０万円以下の罰金であったところ、改正法では、１年以下の懲役又は１００万円以下の罰金に引き上げられた。また、個人情報保護委員会への虚偽報告などの罰則も、３０万円以下の罰金から５０万円以下の罰金に引き上げられた。さらに個人情報データベース等不正提供罪や個人情報委員会による命令違反の罰金について、法人と個人の資力格差などを勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる、いわゆる法人重科を導入し1億円以下の罰金が科せられることとなった。
• 個人情報保護法が要求する義務の不履行により個人情報が漏えいまたは不正利用がなされた場合には、取締役は善管注意義務違反に問われ会社から役員の個人責任が追及される可能性がある。

ここまで、法改正のポイントについて専門家の指摘を確認してきた。この点、はっきりしていることは、企業規模の如何にかかわらず来年春以降は、仮に「個人情報の漏洩」または「サイバー攻撃で犯罪集団に搾取された結果としての個人情報漏洩」が発生した場合は、重大な経営判断を迫られるということである。世間ではよく「知らなかったでは済まされない」と言われるが、一歩間違えば、企業の存続に影響を及ぼしかねない事態となる。古のことわざは、「備えあれば憂いなし」、「転ばぬ先の杖」、「浅い川も深く渡れ」と私たちに示唆を投げかける。改正法の施行を前に〝今こそ〟リスク管理について、改めて検証を重ねていきたい。

H.Enoki