お知らせ・コラム
サイバー保険は必要!?個人情報漏えい保険について考える
サイバー保険とは、サイバー攻撃に伴う様々なリスクから企業をまもる保険です。2022年4月からは新しい個人情報保護法が始まり、一定の情報漏えいがあったときに個人情報保護委員会に報告し、漏えいの被害に遭った本人に通知をしなくてはならなくなりました。こういった法律の改定とともに近年高まるサイバーリスクについて改めて触れていきます。
【目次】
1.個人情報保護法の改定でどうなったか
2.個人情報漏えい保険はなぜ必要
3.今回のまとめ
1.個人情報保護法の改定でどうなったか
まずは2022年4月から改定となった個人情報保護法を知ることが必要です。
■速報(新規) 発覚日から3~5日以内 発覚したら速やかに報告が必要です
報告や通知をするにも詳細な原因調査が欠かせません。家に泥棒が入った場合は警察が鑑識をして原因などを調査(捜査)しますが、サイバー犯罪では被害者側が詳細な原因調査をする必要に迫られることが少なくありません。また、報告と通知を行わなければいけない要件のひとつに「不正を目的とした漏えい事故」という項目が設けられていることに注目が集まっています。つまりサイバー攻撃を原因とする情報漏えいがあったら、たとえ漏えいが1件だったとしても報告しなければいけなくなりました。
■次に確報(続報) 発覚日から30日以内 不正な目的で行われたおそれがある場合は発覚日から60日以内
サイバー攻撃という言葉自体最近聞くようになったレベルなのに、実際社内でそれが起こると大混乱が予想されます。原因調査のやり方すら何から手を付けたらよいのかわからない方も多く、ましてや委員会への報告書の作成が非常に大変なご苦労をされるケースもあります。
以上のように、多くの個人情報を保有しない中小企業であっても、サイバー攻撃による情報漏えいだと、原則報告の義務が生じます。
2.個人情報漏えい保険はなぜ必要
■プロのコンサルティングによる対応が得られるため
サイバー保険では原因調査費用や初期対応のプロによるコンサルティングの費用が補償されるので、万が一の漏えい事故の際に安心できます。賠償金の確保という意味合いよりも、最近ではこの初期対応を手に入れるために保険をご活用されるかたも増えています。
■パソコンやサーバのフォレンジック費用が高額なため
サイバー攻撃の被害に遭うと、基本的に情報漏えいの影響範囲や詳細な原因調査は警察が負担してくれるわけではありません。費用は高額なうえに、いわゆる一見さんだとすぐに対応してくれるかどうかも期待できません。フォレンジック機関という専門家に調査を依頼しなければならないのですが、依頼が殺到していて尚且つ一見だと3か月待ちになってしまうという声も聞いています。※フォレンジックとは、犯罪や事件の証拠を収集・分析し、事実関係を明らかにする調査手法のことです。IT用語では「デジタルフォレンジック」と呼ばれ、削除されたファイルの復元やログの解析など、高度な技術を駆使して電子データから証拠を抽出する調査手法です。また、その調査費用は高額でパソコン1台あたり100万円、サーバだと300万円が相場と言われています。このような費用をいざという時の専門機関とのパイプは保険を活用することでお役立ちいただけます。保険会社は年間に多くの調査を依頼するフォレンジック機関にとってのお得意様でもあります。こういった背景から一見さんからの依頼よりも迅速な対応ができるのにはそれ相応の理由があります。
■自分のところは関係ないと言い切れない部分も!?踏み台攻撃について
中小企業の社長様は自分には関係のない世界のことだと言われることもありますが、本当にそうでしょうか。これまで築いてきた「信頼」も一瞬で崩れかねないことがあります。
「踏み台攻撃」とは、攻撃対象ではない第三者のサーバーやパソコンを遠隔操作、中継点として利用しサイバー攻撃などを行う手法を言います。ソフトウェアの脆弱性やセキュリティホールを突いてマルウェア感染をさせたり、IDやパスワードを奪い取ったりした後に、べつのサーバーやパソコンに攻撃します。ここで問題なのが、攻撃の最終ターゲットとなった企業から見ると、本来被害者である踏み台となった会社は加害者にも見えてしまうことです。犯罪者に操られてではありますが、犯罪に加担してしまうことになるので、一刻を争う正確な原因調査を行うことが求められます。
・手口は大きく二種類あります
①パスワードの盗取
IDやパスワードは、もしも簡単な組合せのIDやパスワードを使用していると簡単に特定されてしまいます。大量の文字列や記号を組合せてIDやパスワードを作り出し、総当たりの攻撃をくわえていきます。管理者パスワードにヒットしコンピュータにログインすれば、どのような動作でも可能になってしまいます。
②マルウェア感染
マルウェアに感染してしまうとリモートでコンピュータを遠隔操作することができ悪用されてしまいます。厄介なのはコンピュータの利用者からすると。このマルウェア感染が分かりにくいことです。遠隔操作で知らないうちにバックグランドでコンピュータが動いているため、コンピュータの持ち主の自覚がなく攻撃を実施している場合が多くあります。
3.今回のまとめ
法改正や巧妙化するサイバー犯罪の手口が脅威だと感じられた方も少なくないはずです。実際に毎朝PCを開くと迷惑メールがたくさんありそれを削除することが業務の日常になってしまうほどにとても多くの罠が潜んでいます。もし万が一従業員様が迷惑メールを開封してしまったら、、と考えるととても恐ろしいお話です。個人情報漏えい保険はそんなときの不安に対応できるものです。ご興味を持たれた方はいちどご相談いただくことをお勧めします。
株式会社保険ポイントは、損害保険および生命保険を取り扱う保険代理店です。
TEL>052-684-7638
保険加入に関するご相談はお気軽にお問い合わせください。