📊 事実
サイバー攻撃発生時の報告制度の強化と運用
- 第363回個人情報保護委員会が開催され、サイバー攻撃等事案に関する共通報告様式(別添様式3)(案)が提示されたソース1。
- 報告内容は内閣官房国家サイバー統括室に共有され、被害の拡大防止に活用される可能性があるソース1。
- 重要インフラ事業者の報告は、特定の内容を除き内閣官房国家サイバー統括室に共有されるソース1。
- 感染端末からLANケーブルを抜き、無線LANを無効にすることが推奨されているソース1。
- 重要インフラのサイバーセキュリティに係る行動計画は2022年6月17日に決定されているソース1。
- 令和7年5月28日に関係省庁申合せが行われ、令和7年10月1日から別添様式1及び別添様式2、令和8年10月1日から別添様式3を用いた報告が適用されるソース2。
- これらの報告はサイバー対処能力強化法第5条に基づく特定侵害事象等が対象となるソース2。
- サイバー攻撃による被害報告件数が増加しているとの指摘があるソース2。
事業者における個人情報保護の現状と課題
- 個人情報保護法は平成29年5月30日からすべての事業者に適用されているソース8。
- ウェブサイト運営事業者に対し、平成30年6月28日に不正アクセスによる情報漏えいの注意喚起が行われ、令和元年7月12日に最終改訂されたソース4。
- ECサイトや会員用ウェブサイトで情報漏えい事案が多く報告されているソース4。
- 不正アクセスは企業規模や業種に関係なく、様々なウェブサイトに対して仕掛けられているソース4。
- 令和4年度、個人情報保護委員会は約3万社の中小規模事業者に漏えい等の報告義務化に関する周知資料を送付したソース8。
- 中小規模事業者の調査(従業員100人以下、3万社対象、回収率17%)において、改正個人情報保護法への対応済みは2%に留まるソース8。
- 不正アクセスを受けたことがある中小規模事業者は3%であるソース8。
- 顧客情報を保有する中小規模事業者のうち、1万人超の顧客情報を持つ事業者は4%であるソース8。
- 個人情報の管理にあたり、法令・ガイドラインを参考にしている事業者は60%であるソース8。
- 安全管理措置に要したコストが年間10万円以下の事業者は60%であるソース8。
- 個人情報保護委員会のホームページを閲覧したことがある事業者は8%であるソース8。
- 委託先業者にセキュリティ対策を任せっきりにせず、委託元には監督義務があるソース4。
- 中小企業において、委託契約にセキュリティ対策が含まれていない事例が報告されているソース4。
- 個人情報保護委員会へ望む事項として「資料の充実」(15.4%)、「説明会の実施」(9.5%)、「研修会の実施」(5.7%)が挙げられている(令和5年3月調査)ソース6。
- 責任者・責任部署の設置、日常からの円滑なコミュニケーション、定期的な会議設定、法令最新動向等の情報共有、事業部門・情報セキュリティ部門・リスクマネジメント部門との連携、役割分担の明確化、社内教育、経営層への理解促進、外部リソース(法律事務所やコンサルタント)の活用が推奨されているソース5。
個人情報に関する権利と義務、データ移転規制
- 個人は自己の個人情報を閲覧・複製・訂正する権利を有し、個人情報取扱者は遅滞なく対応する義務がある(45条、46条)ソース3。
- 個人情報取扱者は、取扱いの目的が実現しなくなった場合、個人情報を削除しなければならない(47条1項)ソース3。
- 「証券法」では顧客情報の保存期間が20年以上(37条)、「電子署名法」では電子認証サービス提供者による認証関連情報が5年以上(24条)、「精神衛生法」では医療機関における精神疾患患者のカルテの保存期間が30年以上(47条)と規定されているソース3。
- 信用情報が漏えいした場合、信用情報会社は遅滞なく信用情報主体に通知する義務があり(信用情報法第39条の2)、損害を与えた場合は損害賠償責任が規定されている(信用情報法第43条)ソース7。
- 位置情報法(2005年1月27日制定、2017年7月26日改正)は、同意のない位置情報の収集を禁止しているソース7。
- 特定の外国法において、個人情報・個人データを域内で保有・保管することを義務付ける規定が存在し、国家ネットワーク情報部門が国外提供時の安全評価を行う必要がある(データ越境安全評価弁法4条1項)ソース3。
💡 分析・洞察
- サイバー攻撃発生時の共通報告様式の導入と内閣官房国家サイバー統括室への情報共有は、国家レベルでのサイバー脅威に対する情報集約と迅速な対応能力を強化し、重要インフラの安定稼働と経済活動の継続を確保する上で日本の国益に資する。
- サイバー対処能力強化法に基づく報告対象の明確化と手続きの簡素化・一元化は、事業者側の報告負担を軽減し、情報共有の促進を通じて、被害の早期発見と拡大防止に繋がる。
- 中小規模事業者において、改正個人情報保護法への対応が2%に留まっている事実は、法制度の整備が進む一方で、実体経済を支える多数の企業群における遵守体制の構築が著しく遅延しており、これが情報漏えいリスクを増大させ、ひいては国民のプライバシー侵害と社会全体の治安悪化を招く潜在的要因となる。
- 特定の外国法が個人情報・個人データの域内保管や国外提供時の安全評価を義務付けている現状は、日本企業の海外事業展開において新たな法的・経済的障壁を生み出す可能性があり、グローバルなデータ活用を通じた競争力維持の観点から日本の国益に影響を及ぼす。
⚠️ 課題・リスク
- 中小規模事業者における改正法対応の遅延(2%のみ対応済み)は、多数の事業者が個人情報漏えいのリスクに晒され続けることを意味し、不正アクセスによる国民の個人情報流出や悪用が常態化することで、国民の財産権およびプライバシーが侵害されるリスクが増大する。
- 委託契約にセキュリティ対策が含まれていない中小企業事例や、セキュリティ対策コストが年間10万円以下の事業者が多数を占める現状は、サプライチェーン全体の脆弱性を露呈させ、サイバー攻撃が中小企業を足がかりに大企業や重要インフラへ波及する国家的なリスクを高める。
- サイバー攻撃の被害報告件数が増加している状況下での報告義務強化は、実効的な周知と支援が不足すれば、報告制度が形骸化するリスクを内包する。これにより、内閣官房国家サイバー統括室への情報集約が不十分となり、国家的な被害拡大防止措置が遅延する可能性が高まる。
- 外部リソース活用が推奨される一方で、中小企業の限られた経営資源では、専門家への依頼費用が新たなコスト負担となり、法令遵守を阻害する可能性がある。結果として、法令遵守が進まない事業者への行政指導や罰則が国民経済に過度な負担を強いるリスクも考慮する必要がある。
主な情報源: 個人情報保護委員会

コメント