この流れは・・・義務化でほぼ確定という事になりそうな気がします。
active.nikkeibp.co.jp
個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした。現行法令は法的義務を課してないが、同日の委員会では海外の法令調査や事故報告制度を持つ国の他の法令を参考に議論した。
同委員会によると、英国やカナダ、フランスなどが近年、漏洩報告を義務化している。各国の監督機関へのヒアリングでは、義務化は正直に報告する事業者と消極的な事業者の間にあった不平等の解消につながるといった回答が多かった。
(中略)
同委員会がまとめた次期法改正に向けた中間整理へのパブリックコメント(意見公募)では「義務化は不必要」という意見も多かった。しかし、「本人や事業者、監督機関にとって多くの意義があり、国際的潮流にもかなう」(同委員会)として、企業の負担軽減策を含めて「漏洩報告を義務化する方向で具体的な論点を検討する」(同)という。
(日経XTECH記事より引用)
◆キタきつねの所感
パブコメで反対意見が多かったにも関わらず、義務化を検討という事ですので、改正される流れがほぼ確定したのかと思います。
個人情報漏洩のインシデントは、リリース件数や様々な統計を見ていると、氷山の一角という気がしています。
昨年末のPayPayの発表の仕方などはこの典型で、公式発表と海外のセキュリティ企業が出すレポートと差分は、義務化によって多少は改善されるかも知れません。
foxsecurity.hatenablog.com
一方で、企業がインシデント報告(発表)した内容について、マスコミはもう少し内容を精査して報道する必要もあるのかと思います。
インシデントを発生させた原因はあり、その企業に事件の(一部の)責任があるのは間違いありませんが、企業側も被害者なのであり、攻撃者(ハッカー)が一番悪いにも関わらず、企業が一番悪い!という風潮で報じてきた事から、「事件を隠蔽して発表しない方が得」という風潮を作ってきた責任の一端は、マスコミにもあるので、インシデントリリース=企業が悪いという型が、もう事件内容を考慮した内容になっていって欲しいなと思います。
余談ですが、ディノス・セシールは、過去に何度もパスワードリスト攻撃を受けていますが(※パスワードの使い回しが推定原因と毎回発表している)、1件でも侵害があった場合はほぼ数日以内にリリースを出しています。
foxsecurity.hatenablog.com
こうした企業姿勢はもっと評価されるべきではないでしょうか?
個人情報保護委員会で検討されていくのは、報告の義務化=対外リリース義務化ではなさそうな気もしますが、事故報告の際の最低限発表しなければいけないひな形が整理されると、企業にとって迷う事が少なくなるので良い取り組みになるのではないかと思います。
せっかく義務化するのであれば、行政サイドだけが情報を得る為に改正するのではなく、対外リリースも含めて検討が進むことを切に願います。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
