名古屋市の損害保険・生命保険代理店なら保険ポイント「お知らせ・コラム」ページ

tel:052-684-7638受付時間:平日9:00~17:00052-684-7638
お問い合わせ
MENU CLOSE

お知らせ・コラム

2023.12.25

コラム(賠償のリスク)

身近に潜む個人情報漏えいへの対応と、サイバーリスク保険の備え

身近に潜む個人情報漏えいへの対応と、サイバーリスク保険の備え

近年では急速にデジタル社会へ転換しており、大企業のネットワーク侵入への踏み台とされてしまったり、ネット販売によるクレカ情報の漏えい、サイバー攻撃による企業情報の流出やテレワークにおける個人PCの使用リスクなどありとあらゆるサイバーリスクがあります。今回はそういった個人情報の漏えいが起きてしまった際の対応と保険について取り上げていきます。

【目次】

1.個人情報が漏れてしまった際の報告や対応について

2.サイバーリスクに備える保険について

3.今回のまとめ

 

個人情報が漏れてしまった際の報告や対応について

まずは個人情報が漏えいしてしまった際の報告の期限ですが、新規の速報発覚日から3~5日以内です。発覚したらまずは速やかに報告が必要です。次に速報(続報)は発覚日から30日以内。不正な目的で行われたおそれがある場合は、発覚日から60日以内です。

漏えい等報告が必要な場合とは

下記の要件に該当する場合は漏えい等報告が義務付けられています。

要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ)※民間事業者等

要配慮個人情報が含まれる保有個人情報の漏えい等(又はそのおそれ)※行政機関等

※行政機関等には、国の行政機関・独立行政法人等・地方公共団体の機関・地方独立行政法人を含みます。

要配慮個人情報とは

以下のものが「要配慮個人情報」に当たります。人種、信条、社会的身分、病歴、犯罪の経緯、犯罪により害を被った事実、その政令でさだめるもの(身体障害、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続きが行われたこと)

(例)

・病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

・従業員の健康診断等の結果を含む個人データが漏えいした場合

不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ)※民間事業者等

不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等(又はそのおそれ)※行政機関等

 

(例)

・ECサイトからクレジットカードの番号を含む個人データが漏えいした場合※クレジットカード番号の下4桁のみとその有効期限の組み合わせの漏えいであれば、直ちに報告対象事案には該当しない

・送金や決済機能のあるWEBサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合

不正の目的をもって行われたおそれがある個人データの漏えい等(又はそのおそれ)※民間事業者等

不正の目的をもって行われたおそれがある保有個人情報の漏えい等(又はそのおそれ)※行政機関等

※「不正の目的をもって」の主体は、従業者だけではなく、盗難等第三者も含まれます。

(例)

・不正アクセスにより個人データが漏えいした場合

〇個人データを格納しているサーバー等において、外部からの不正アクセスによりデータが窃取された場合

〇マルウェアに感染したコンピュータに不正な指令を送り、IPアドレス等への通信が確認された場合

〇不正検知を行う専門家等の第三者から漏えいのおそれについて連絡を受けた場合

・ランサムウェア等により個人データが暗号化され、復元が出来なくなった場合

・個人データが記載又は記録された書類・媒体等が盗難された場合

・従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

個人データに係る本人の数が1000人を超える漏えい等(又はそのおそれ)※民間事業者等

保有個人情報に係る本人の数が100人を超える漏えい等(又はそのおそれ)※行政機関等

・システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1000人を超える場合

・自社の会員(1000人超)にメールマガジンの配信を行う際、本来メールアドレスをBCC欄に入力して送信すべきところをCC欄に入力して一括送信した場合

条例要配慮個人情報が含まれる保有個人情報の漏えい等(又はそのおそれ)※地方公共団体の機関、地方独立行政法人

サイバーリスクに備える保険について

個人情報や企業の技術に関する情報も狙われています。そしてサイバー攻撃は中小企業にはあまり関係がないと捉えられがちですが、中小企業も同じように狙われています。また、取引先のネットワークに侵入するための踏台として狙われることもあります。もしもサイバー攻撃を受けて個人情報を漏えいしてしまったことを想像すると、手元の資金や銀行借り入れを起こして対応する必要もあるかもしれません。個人情報を1件でも漏えいさせると企業は事故対応を迫られます。対応を誤ると、企業のイメージの低下や取引先からの取引停止などにもつながりかねません。サイバー攻撃を受けた段階で必要とされるデジタル・フォレンジック費用を含め専門家による初期対応が含まれるサイバーリスクの保険を検討するのも一助となります。

今回のまとめ

サイバー攻撃を受け、個人情報が漏えいした際の保険対応のイメージは4つのステップがございます。①セキュリティの専門家による初期対応②コンサルティング初期対応③事故後の対応に費用発生④損害賠償金や弁護士費用への備え、の4つです。これらに対応するためにも一度損害保険における個人情報漏えい保険を検討してみるのも良いかもしれません。

 

株式会社保険ポイントは、損害保険、生命保険を取り扱う保険代理店です。

TEL>052-684-7638

メール>info@hokenpoint.co.jp

 

 

お電話、メールでお気軽にお問合せください。

PREV 記事一覧 NEXT