改正個人情報保護法が施行されたことを受け
一定の基準を満たす個人情報の漏洩事故が発生した場合
以下が点が義務化されました。
1.個人情報保護委員会への報告
2.漏洩対象となった被害者本人への通知
報告の義務化と罰金の引き上げ
報告は速報と確報
なんと!罰金の上限は
1億円!!!!!
速報は報告対象事由発生から概ね3~5日以内
確報は基本30日以内に実施。
報告にあたり、原因調査、被害範囲の特定実施の必要あり。
サーバー1台あたり20~100万円程度の費用が発生。
被害者の特定、連絡先(住所・電話番号・メールアドレス等)の確認。
「漏洩事象の概要」「漏洩した個人データの項目」「原因」「二次被害、またはそのおそれの有無」「その他参考情報」等を含めた通知文書の作成。
原因調査・被害範囲特定等、所定の対応には一定の費用負担が生じます。
また、被害者からの賠償請求に備えることも重要です。
サイバー保険では、被害者に対する損害賠償金だけでなく様々な費用も補償されます。
サイバー攻撃による事故例
業種・規模:製造業、社員約1,000名、売上約300億円
事故・被害内容:標的型攻撃メールにより社内PC10台がマルウェアに感染。取引先に機密情報及び顧客の個人情報約60,000件流出
発覚経緯:セキュリティ運営管理会社に情報流出の可能性を指摘され発覚。その後本格調査に乗り出し、事故・被害の全容を把握。
1.検知 ・検知内容の精査
(社内対応)
2.初動対応 ・影響の調査
・影響箇所・範囲の特定 等
被害想定額 約500万円
3.対応 ・ログ収集
・証拠保全
・原因・被害調査
・バックアップ復元 等
被害想定額 約3,000万円
4.事態収拾 ・見舞金
・広報対応
・弁護士費用 等
被害想定額 約4,000万円
5.再発防止計画
・再発防止の為の各種施策(技術対策、教育、ルール作り等)の計画策定
被害想定額 約500万円
*.被害予想合計額 約8,000万円
上記金額はあくまで想定です。個社の状況、事故の内容、対応業者等により金額は変わります。