- コラム
個人情報保護のためのマスキング処理は必須!漏洩のリスクや法律、事例とは?
個人情報に関しては、流出のニュースや、法律による規制が強化されるなどで、企業だけではなく一般の人々の注目度が上がっています。
このため、個人情報を流出させることによる企業への影響が以前より大きくなっており、不必要な情報はマスキング処理するなどの対策が求められます。個人情報を漏洩することによるリスクや、漏洩の事例、対策について解説いたします。
個人情報漏洩によって起こる3つのリスク
個人情報を漏洩することによって、会社にはどのような影響が及ぶのでしょうか。
ここでは3つのリスクを解説します。
1. 信用を失うことによる業績悪化
個人情報を漏洩させると、会社の管理が不十分だとみなされ、信用を失うことで顧客や取引先が減るなどして業績が悪化する可能性があります。
例えば、クレジットカード会社の場合、個人情報が流出することにより、顧客には迷惑メールや勧誘電話の増加だけでなく、クレジットカードなどの不正利用による金銭被害を受ける可能性もあります。顧客が信用できない会社は利用したくないと考え、退会するのは自然なことといえるでしょう。このような心理から、退会者が増え業績が悪化するといったことは十分に考えられます。
2. 損害を与えたことに対する金銭補填
個人情報を漏洩したことにより発生した損害については、金銭補填を求められることがあります。
これに加えて過去の事例では1人あたり5,000円から10,000円ほどの慰謝料を支払うケースが多く、業績に大きな影響を与えかねません。
3. 社内工数の発生
個人情報を漏洩させた場合、その原因の究明や被害を抑えるための業務に社内が忙殺され、通常業務に支障を来すリスクがあります。
これにより、社内の人件費が余計にかかるといったリスクと共に、商品やサービスの営業や販売リソースが減り、通常営業であれば得られていた売り上げがなくなり売り上げに影響する可能性も出てくるでしょう。
2020年に改正された個人情報保護法について
個人情報流出に対する世間の注目の高まりを受け、2020年に個人情報保護法が改正されました。
2022年4月から施行されるこの新しい個人情報保護法の注目ポイントについて見てみましょう。
漏洩発生時の報告が義務化
従来は個人情報漏洩が発生したとしても、その報告義務はありませんでした。
しかし、新しい法律では、個人情報漏洩が発生した際には、個人情報保護委員会に報告することが義務化されています。
また、漏洩発生時には、漏洩した情報を持つ本人に通知する義務も課せられ、より漏洩発生に対する義務が増えたといえるでしょう。
不適切な利用の禁止が明文化
従来は個人情報の不適正な利用について、実は明文的には禁止されていませんでした。
しかし、改正後は個人情報を取り扱う事業者が、不適正な方法で個人情報を利用することが禁止され、利用した場合は個人情報の利用停止等の措置がとられます。
当たり前といえば当たり前のことではありますが、法律で明文化されたことで、安心感は高まりそうです。
「仮名加工情報」制度の新設
旧法では、たとえ個人情報を加工して個人を特定できない状態にしたとしても、依然として個人情報に該当するとされ、個人情報と同じ厳重な取り扱いが求められていました。
たとえば、名前を記号などに置き換えて本人の特定ができない状態にしたとしても、個人情報としての扱いが必要だったのです。
これに対して新法では、他の情報と照合しない限り特定の個人を識別できないようにした情報に関しては、事業者の義務が緩和されています。
前の例でいうと、本人の特定ができないように加工した場合、その本人の同意無しに情報の利用が可能となります。たとえば、膨大な情報が必要となるAI開発などに既存のデータを流用するのに役立たせることが可能です。
法令違反に対するペナルティの強化
個人情報漏洩を発生させた場合の罰則が引き上げられています。
例えば、以前は6カ月以下の懲役または30万円以下の罰金であった個人情報保護法42条2項・3項違反(個人情報保護委員会の措置命令)は、1年以下の懲役または100万円以下の罰金となっています。
また、個人情報保護法40条1項および同法56条の規定(虚偽報告等の報告義務違反)に違反した場合も、従来の30万円以下の罰金から、50万円以下の罰金へと重罰化されています。
個人情報の重要性の高まりを反映した結果といえそうです。
個人情報漏洩事件の事例
個人情報漏洩事件はさまざまな業種で起きています。
その事例を4つ紹介しましょう。
食品メーカーの通販サイト
同社が運営する「健康食品通販サイト」において、2012年から2017年にかけて9万人超の個人情報流出を起こしました。このうちクレジットカード情報が流出したと考えられているのが約3万人、それ以外の個人情報のみが流出したのが約6万人とされています。
この通販サイトではサーバーの入れ替えをおこなったのですが、入れ替え前の旧サーバーの脆弱性を悪用された可能性があるとのことです。
米国大手通信キャリア
アメリカの大手通信キャリアでは、2021年8月に4,865万人分もの個人情報が漏洩したと発表しました。
この問題は、何者かがダークWebで1億人分の個人情報を販売しており、このなかに米国大手通信キャリアからのものが含まれていることがわかり、発覚したとのことです。
攻撃者は米国大手通信キャリアの2つの顧客データセンターにアクセスできる進入口を見つけ、そこから100GB以上の顧客データベースを入手しました。
某自治体の税金クレジットカードお支払サイト
個人情報を流出させたのは企業だけではありません。
2017年3月に「クレジットカードお支払サイト」に不正アクセスがおこなわれ、クレジットカード情報やメールアドレスを含む個人情報約67万件が流出したと発表しました。
対策として、セキュリティ対策を強化するとともに、カード情報やメールアドレスをサーバー内に保持しないなどの対策を講じたとのことです。
通信教育事業者による個人情報漏洩事件
通信教育事業者では、重複分も含め約2億300万件の個人情報の流出がありました。
グループ企業の派遣社員が、名簿業者に売却する目的で個人情報を盗むことを繰り返し、流出させたとのことです。
この流出により1人あたり500円相当の金券をお詫びとして配布し、200億円を特別損失として計上しています。
個人情報漏洩に対する5つの対策
金銭的にも事業的にも大きな被害を受ける個人情報漏洩を防止するにはどのような対策をすれば良いのでしょうか。
5つの対策をご紹介します。
1. 個人情報を持ち出さない
まず、企業として、社内に保管されている個人情報は持ち出さない環境を作ることが重要です。
個人情報が入ったPCやUSBメモリ、あるいは個人情報が記載された紙を持ち出すと、流出させる意図はなくても、落としたり盗まれたりするリスクがあります。
まずは個人情報を持ち出せる状態にしない、例えばUSBにコピーしたり、簡単にダウンロードできない仕組みにするといった環境を作ることが重要です。
その上で、個人情報を絶対に社外に持ち出さないというルールを徹底しましょう。
2. 不要な機器を持ち込まない
会社から貸与され管理されている機器に比べ、私的に利用している機器の安全性は千差万別です。一時的にでも個人情報が私的な機器に入れられると、不正アクセスによって情報が流出する危険性が高まります。
また、意図的に情報を名簿業者などに売却しようとする犯罪者を排除する意味でも、PCやUSBメモリなど、私的な機器を持ち込まないことをルール化すべきといえるでしょう。
3. 安易に捨てない
不要になった個人情報の廃棄方法についても慎重になるべきです。
シュレッダーにかけずに廃棄した紙は盗まれる可能性がありますし、HDDやSSD、USBメモリといったストレージは、普通に消しただけではデータを復活させることができます。
個人情報が含まれた紙などの廃棄については、専門業者に依頼するなど、細心の注意を払うようにしましょう。
4. セキュリティソフトを導入する
PCなどを不正アクセスやウイルス、マルウェアから守るセキュリティソフトの導入は、個人情報漏洩防止に効果的です。
ただし、セキュリティソフトをインストールしていたとしても、常に最新の状態に保たなければ、新しい手段によって被害を受ける可能性があります。インストールしただけで安心するのではなく、しっかりと管理することを心がけましょう。
5. 不要な個人情報はマスキング処理する
不要な個人情報については、そもそもマスキング処理によって見えない状態にするのも選択肢の一つとしてあります。これにより、たとえその情報が流出したとしても個人情報が読み取れず、被害を抑止することができます。
ただ、マスキング処理は意外と面倒なものですし、誤って必要な情報までマスキングしてしまうというリスクもあるでしょう。マスキング処理が容易におこなえるツールの利用が不可欠です。
PrizmDocなら実データに変更を加えずにマスキング処理可能
お手持ちのWebアプリケーションに組み込んで利用するビューアであるPrizmDocには、アノテーション機能が搭載されており、個人情報流出防止にも役立つマスキング処理(墨消し)が可能です。
このマスキング処理は、実データに変更を加えることなく別レイヤーで加えられるため、大切な実データを破壊する心配がありません。
また、マスキング処理だけではなく、テキスト、コメント、ハイライトなど、さまざまなアノテーションを同様におこなうことができ、業務においても便利に使用することができます。
さらに、データ閲覧の際に実データをダウンロードせず、SVG形式に変換したものを一時的に投影する方法のため、実データが端末に残らず流出のリスクをさらに下げることが可能です。
PrizmDocには無料体験が用意されておりますので、お気軽にお問い合わせください。