ITの利活用が進む中、企業を狙ったサイバー攻撃はますます高度化・巧妙化しています。
個人情報保護法改正の影響もあり、セキュリティ対策の一環でサイバー保険の導入を検討する企業は少なくありません。
そこで今回はサイバー保険とは何か、個人情報保護法との関係や義務化の可能性について解説します。
企業に必要なセキュリティ対策について知りたい方は、ぜひ参考にしてください。
サイバー保険とは?義務化の可能性は?
サイバー保険とは法人向け損害賠償責任保険の一種で、情報漏えいやサイバー事故発生時の損害を補償する保険です。主に、保険会社やプランによって補償内容は異なりますが、以下3つの損害が補償されます。
<<サイバー保険の補償例>>
・ 損害賠償:サイバー事故に関連して損害賠償請求された際の費用
・ 費用損害:データ復旧費や顧客対応費など、サイバー事故に対応する際の費用
・ 利益損害:IT機器の機能停止等によって生じた喪失利益や営業継続のための費用
サイバー保険について調べると、「義務化」という関連ワードが出てくることがあります。しかし、2024年時点でサイバー保険の加入が義務化される予定はありません。
ただ、先述したようにサイバー攻撃は年々高度化・巧妙化しているため、サイバー事故への対応はもはや喫緊の経営課題です。個人情報保護法の改正も相次いでおり、企業経営におけるセキュリティ対策の重要性が増しています。個人情報保護法とセキュリティ対策の関係性については、以下で詳しく解説します。
個人情報保護法と企業のセキュリティ対策の関係
個人情報保護法とは、事業者や個人が取り扱う個人情報の適切な管理について定めた法律です。原則としてすべての事業者に適用されるため、日本国内の企業は必ずルールを守らなければなりません。当然ながら、個人情報保護法に違反すれば罰則が科されます。2020年(令和2年)の法改正では企業への法定刑が大幅に引き上げられており、企業に与える影響がより甚大になっています。
したがって、企業のセキュリティ対策は単なる経営戦略ではなく、法令遵守やリスク回避のために不可欠な取り組みです。ここでは、改めて個人情報保護法の基本ルールを見ていきましょう。
個人情報保護法の基本
個人情報を取り扱う場合のルールは、大きく分けて以下の4つです。●個人情報の基本ルール
出典:政府広報オンライン「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?」(https://www.gov-online.go.jp/useful/article/201703/1.html)を加工して作成※個人情報とは:生存する個人に関する情報。氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報を指す。コンピュータを用いて個人情報を体系的に構成したものを「個人情報データベース等」、個人情報データベース等を構成する個人情報を「個人データ」という
個人情報の中で、とりわけ慎重な取り扱いが求められる情報を「要配慮個人情報」と言います。
以下のような情報が該当するため、慎重に取り扱いましょう。
<<要配慮個人情報の例>>
人種や信条、社会的身分、病歴・健康診断の結果、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害や知的障害・精神障害などの障害があること等
特に重要な個人情報の保管・管理
個人情報の基本ルールのうち、1の「取得・利用」や3の「提供」に関するルールは、Webサイトや書面で利用規約の明示をすることなどで対応できます。また、4の「開示請求への対応」は窓口を作ることなどで対処可能です。常に注意が必要なのは2の「保管・管理」です。
近年はDXが普及し、電子媒体でのデータ管理が主流になりました。データ化で保管・管理が容易になった一方、サイバー攻撃のリスクは日に日に高まっているため、恒常的な管理対策が必要です。
企業においては、取り扱う個人データの漏えいや滅失等を防ぐため、必要かつ適切な安全管理措置が求められます。
たとえば事業所内で個人データを取り扱う区域を明確にし、施錠を強化したり、入退室を管理したりすることも安全管理措置の一つです。事業規模によって適切な安全管理措置は異なるため、企業にあわせた措置を講じることが大切です。
改正個人情報保護法のポイント
個人情報保護法は、これまで3度の大きな見直し改正が行われてきました。直近2回の改正の中で、事業者にとって特に重要なポイントを2つ紹介します。
1.情報漏えい時の通知義務化
令和2年(2020年)改正法により、2020年4月以降、個人情報を扱うすべての事業者において、個人情報の漏えい等が発生した場合の「個人情報保護委員会への報告および本人への通知」が義務化されました。<<報告および通知の対象となるケース>>
1.要配慮個人情報が含まれる個人データの漏えい等
2.不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
3.不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(不正アクセス、盗難や第三者によるハッキングでの漏えいを含む)の漏えい等
4.個人データに係る本人の数が1,000人を超える漏えい等
上記のケースには、Webサイトへの不正アクセスによるハッキングも対象となるため、強固なセキュリティ対策が必要です。また、令和6年(2024)年4月1日には、この報告通知義務に関する規則が改正されました。
●令和6年4月からスキミング対策が強化された
報告通知義務の対象は従来、「個人データの漏えい等」が対象となっていました。しかし、令和6年(2024年)4月1日以降は「データベース化される前の個人情報が直接流出するようなケースについても報告対象」となっています。これは、いわゆるWebスキミング対策です。
Webスキミングとは、Webサイトなどに不正なプログラムを仕掛け、Webサイト利用者のクレジットカード情報などを抜き取る行為です。この際、抜き取られているデータは個人データになる前段階だったため、従来法では報告の対象外でした。
しかし近年、Webスキミングによる被害が増えていることから、このような改正が設けられたのです。
2.罰則(ペナルティ)の強化
改正により、個人情報保護委員会による命令違反や、委員会に対する虚偽報告等があった際の法定刑が引き上げられました。
出典:個人情報保護委員会「令和2年改正個人情報保護法について」
たとえばデータベースの不正提供等に関して、改正前は50万円以下の罰金でした。
しかし改正後には「1億円以下」の罰金となっており、法人への罰則が強化されています。
3.法律の一元化
改正前は、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法という3つの法律がありました。この個人情報保護関係の法律3つが1本の法律に統合され、地方公共団体の制度についても全国的な共通ルールが設定されました。これにより、個人情報の定義等を国・民間・地方で統一するとともに、所轄は個人情報保護委員会に一元化されました。社会全体で個人情報を保護するという意識が高まっていると言えます。
個人情報漏えいだけではない!サイバー事故発生による企業の損失
不正アクセスなどのサイバー事故(セキュリティインシデント)が発生すると、企業にさまざまな損失が発生する可能性があります。<<サイバー事故発生による主なリスク>>
・ 情報漏えいにより、損害賠償請求や個人情報保護法の罰金が発生する
・ システムやPC、サーバなどが停止することで業務運営に影響が出る
・ 事故発生の原因究明や改善、顧客へのお詫びなどに対するコストがかかる
・ 企業の社会的評判が悪化し、株価や取引関係、採用などさまざまな場面に波及
・ 適切な内部統制システムを構築していない場合、役員個人が法的責任を負うケースも
サイバー事故は広範囲に影響を及ぼします。管理体制がずさんだと役員個人も法的な責任を問われる可能性あるため注意が必要です。
この責任は、主に「会社法」や「個人情報保護法」に基づきます。
会社法では、役員は会社の業務遂行において善管注意義務を負い、適切な管理体制を整備しなかった場合、その義務違反とみなされる可能性があります。一方、個人情報保護法では、事業者に適切な管理措置の義務が課されており、これに違反すると会社に対する行政指導や制裁に加え、役員が直接的に民事責任や刑事責任を問われる場合もあります。
多大な経済的損失を生む前に、あらゆるセキュリティ対策を検討してください。
企業が行うべきセキュリティ対策
企業には、個人情報保護法を遵守したうえで、情報漏えい等を防ぐセキュリティ対策が求められます。これに加え、企業の取締役には、職務の一環として内部統制システムの基本方針を取締役会で決定し、その方針に基づき内部統制システムを構築する義務があります。内部統制システムの適切な構築と運用は、個人情報の管理やセキュリティ対策の一環として、企業の社会的責任を果たすためにも重要な役割を果たしています。
具体的な対策を解説します。
組織的対策
・ 個人情報保護方針やセキュリティポリシーの策定・周知・ 従業員への個人情報保護法・情報セキュリティ教育の実施
・ インシデント対応計画の作成
などがあります。
まずは、企業全体で個人情報保護方針を策定し、全従業員に周知徹底しましょう。
従業員教育によって組織全体の意識向上を図ることが大切です。
技術的対策
・ ファイアウォール、ウィルス対策ソフトの導入・更新・ セキュリティの高い通信方法(暗号化通信など)の利用
・ 従業員ごとにアクセス権限の管理を徹底
・ 侵入検知システムの導入
・ 多要素認証の採用
・ 重要データのバックアップ
などがあります。
IT部門などの専門部署・専門家と連携した技術的対策も重要です。不正アクセスの方法は年々複雑化しているため、一度の対策で安心せず、定期的に管理方法を見直すようにしましょう。
物理的対策
・ 監視カメラの設置・ 入退室記録の管理
・ 機密情報の保管を厳重化
・ 廃棄物の適切な処理
・ サーバールームの施錠強化
などがあります。
社内だからと安心せず、監視カメラや施錠強化などで物理的に防ぐ対策も重要です。
事故発生に備えた対策
どれだけ対策を尽くしても、サイバー事故を100%防ぐ保証はありません。万が一に備え、法人向け保険で事故発生に備えることも検討してください。中小企業への調査によると、法人向け損害保険への加入意向は「サイバー保険」「情報漏えい責任保険」が同率でトップを占めています。
また、同調査によると、すでにサイバー保険を契約している企業の加入のきっかけは、 「年々リスクが複雑化していると思うから」との回答がもっとも多くなりました。
多くの企業がサイバー事故によるリスクを重く受け止め、何らかの対策を検討していることがわかります。
出典:一般社団法人日本損害保険協会 「中小企業におけるリスク意識・対策実態調査2023」
サイバー保険と個人情報漏えい責任保険
サイバー保険と個人情報漏えい責任保険の違いは補償の範囲です。サイバー保険は個人情報の漏えいを含めてさまざまな損害を補償しますが、個人情報漏えい責任保険は補償が「情報漏えい」に限定されています。より広範囲の補償を希望するのであれば、サイバー保険が適しているでしょう。
たとえばサイバー保険では、損害賠償金や訴訟費用、事故対応費用やデータ普及費用、IT機器の機能停止によって生じた利益損害や営業継続費用などを補償します。プランによって補償範囲は異なりますが、ユーザーへのお見舞金や見舞品購入費が補償される場合もあります。
まとめ
企業を狙ったサイバー攻撃が増え、個人情報保護法の改正が相次いでいます。企業は社会的責任をもって個人情報保護法を遵守するとともに、適切なセキュリティ対策を取り、サイバー攻撃に備えなければなりません。しかし、残念ながらサイバー攻撃や情報漏えいのリスクをゼロにすることは難しいため、万が一の事故に備えた対策も必要です。
サイバー保険に加入しておけば、万が一の際に生じる多大な経済的損失や労力から自社と従業員を守ることができます。この機会に検討してみてください。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
著:金子 賢司
東証一部上場企業(現在は東証スタンダード)で10年間サラリーマンを務める中、業務中の交通事故をきっかけに企業の福利厚生に興味を持ち、社会保障の勉強を始める。以降ファイナンシャルプランナーとして活動し、個人・法人のお金に関する相談、北海道のテレビ番組のコメンテーター、年間約100件のセミナー講師なども務める。趣味はフィットネス。健康とお金、豊かなライフスタイルを実践・発信。
保有資格:CFP
