ランサムウェアによるサイバー攻撃被害が増加している。情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2024」の「組織」向け脅威では、「ランサムウェアによる被害」が前年に引き続き1位となった。ランサムウェアはRansom(身代金)とSoftware(ソフトウェア)を組み合わせた造語であることから分かる通り、感染するとPCやサーバーなどに保存されているファイルが暗号化され、復号のための身代金を要求される。またそれだけでなく、侵入時に情報を窃取されることもあり、被害に遭った際の影響は計り知れない。本記事ではランサムウェアによって個人データが漏えい等した場合、求められる対応について解説していく。

企業で相次ぐランサムウェア被害

 2024年6月初旬に報じられたKADOKAWAグループのサイバー攻撃被害。ランサムウェアを含む大規模なサイバー攻撃により、同社グループのWebサイトやWebサービスの利用が一時的に停止されたことに加え、社内外の情報が外部に漏えいしたという。また、7月10日には、東京海上日動火災保険を含むグループ会社の個人情報が、同社業務委託先のランサムウェア被害によって漏えいした恐れがあることが発表されている。大企業を中心にランサムウェアの被害が相次いでいるが、サイバー攻撃のターゲットは企業規模を問わない。全ての企業は今一度ランサムウェア対策を見直す必要がある。

 同時に、ランサムウェアに感染したり、サイバー攻撃者にシステムに侵入されデータを窃取されたりした場合、企業が取るべき対応についても見直しておきたい。被害の拡大を防ぐためにはまずランサムウェア被害を受けている影響範囲を特定し、侵害範囲を封じ込めて根絶する必要があるだろう。そうした調査の中で個人情報の漏えい等が発生したことが分かった場合は、本人への通知に加えて、個人情報保護委員会への報告も忘れてはならない。

個人データが漏えいした場合の対処法

 個人情報保護委員会は、内閣府の外局として2014年1月1日に新設された行政委員会だ。もともとマイナンバーに関連する業務を行う特定個人情報保護委員会として組織され、その後2016年1月1日に同委員会が担ってきたマイナンバーの適正な取り扱いの確保を図る業務を引き継ぐとともに、新たに個人情報保護法を所管し、個人情報の適正な取り扱いの確保に関する業務を行っている。

 この個人情報保護法が、2020年6月に改正され、2022年4月1日から施行されている。改正による変更の一つに、「漏えい等報告・本人通知の義務化」がある。改正前は個人データが漏えい等した場合は「個人情報保護委員会に報告し、本人に通知するよう努める」となっていたが、この報告および通知が義務化されたのだ。ここでいう「漏えい等」とは、漏えい、滅失、毀損の内いずれかに該当するものだ。具体的には以下のような事象を指す。

・漏えい…個人データが外部に流出すること
・滅失…個人データの内容が失われること
・毀損…個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること

 サイバー攻撃による不正アクセスで個人データが窃取された場合は漏えいに当たるが、ランサムウェアによって個人データが暗号化されアクセスできなくなった場合は毀損に当たる。こうした漏えい等が発生した場合、個人の権利利益を害する恐れが大きい以下の4項目のいずれかに該当する場合は、個人情報保護委員会への報告、および本人への通知が必要だ。

1.要配慮個人情報の漏えい等
2.財産的被害のおそれがある漏えい等
3.不正の目的によるおそれがある漏えい等
4.1,000件を超える漏えい等
※1〜3では漏えい等の件数に関わりなく報告の対象となる。また漏えい等の「おそれ」がある場合も対象。

 個人情報保護委員会務局 監視・監督室 参事官補佐 竹内優平氏は個人情報保護法に基づく情報漏えい等事案の報告の処理件数(事業者分)について「2023年度は1万件を超える結果になりました」と振り返る。漏えい等報告として特に多かったのが医療機関等における診療報酬明細書の誤交付といった個人データが記載された紙媒体の誤交付だ。また不正アクセス要因による漏えい等件数も443件あった。

VPN機器の設定を今一度見直そう

個人情報保護委員会
坪田 法

 不正アクセスの要因の一つとして挙げられたのが、VPN機器の脆弱性だ。特にコロナ禍において増加したテレワークにおいてVPN機器を使用したリモートアクセスが増加した。一方で、VPN機器の脆弱性や強度の弱い認証情報から攻撃者の侵入を許したケースが不正アクセスの要因の一つとしてある。「企業規模、業種問わずVPN機器を狙った不正アクセスは増えています。つまり、ありとあらゆる企業が個人情報漏えいのリスクを抱えているといえるでしょう」と指摘するのは、個人情報保護委員会事務局 監視・監督室 参事官補佐 坪田 法氏。

 漏えい等が分かった場合は、前述した通り個人情報保護委員会への報告、および本人への通知が必要だ。なお、漏えい等が発覚した場合の委員会への報告は、事態の発生を確認した後、3〜5日以内にその時点で分かっている情報についての報告を行う「速報」と、30日以内に発生原因や再発防止策などを含めた全ての報告を行う「確報」の二段階が求められる。なお、不正アクセスのような不正の目的によるおそれがある漏えい等については、確報は60日以内の猶予がある。また、ランサムウェアによるサイバー攻撃を受けた場合、個人データを暗号化する毀損と、個人データを窃取する漏えいの2点が発生するケースもあるが、その場合でも報告の仕方は変更なく、漏えい等報告の報告書の該当チェック項目が“漏えい”と“毀損”の2点となるのみだ。

個人情報保護委員会
竹内優平

 企業において漏えい等が発生した場合、従業員への周知徹底も必要だ。「漏えい等が発生した場合、本人に通知する必要がありますが、従業員のデータが漏えいした場合は従業員も通知の対象になります。また、同様の漏えい事案が発生しないよう、企業内で再発防止策を講じることも不可欠になります。システム部門を筆頭とした技術的対策はもちろんのこと、従業員教育もしっかり実施していく必要があります。当委員会ではそうした従業員教育に活用できる研修用コンテンツも用意していますので、これらを活用しながら従業員教育をしっかりと行ってほしいですね」と竹内氏。

 坪田氏は「不正アクセスは規模、業種を問わず全ての企業を対象として狙い撃ちにしてきます。当委員会が発行している『個人情報の保護に関する法律についてのガイドライン』の通則編では、個人データを取り扱う上での『講ずべき安全管理措置の内容』が示されていますので、それらも参照しながら対岸の火事と思わずに対策を講じていただければと思います」と企業にメッセージを送った。