個人情報を扱う事業者などに対するサイバー攻撃による個人情報漏洩対策の強化に向け、個人情報保護委員会(個情委)は内閣サイバーセキュリティセンター(NISC)、警察庁サイバー警察局、情報処理推進機構(IPA)とそれぞれ連携し、対策などを円滑に進められるようにする。ただ、事業者にとってはインシデント発生時の報告負担が重いといった課題は残り、各機関間の情報共有や個情委などへの報告情報の有効活用を求める声も上がる。
重大インシデント発生時に共同で対応
個情委がNISC、サイバー警察局、IPAのそれぞれと連携に関する覚書を締結し、2023年4月1日から運用を開始する。平時やセキュリティーインシデント発生時などのそれぞれの対応で連携する。対象となるのは、セキュリティーインシデントのうち、電子ファイルに保存された個人情報の漏洩などが起きた場合や起きる恐れのある場合である。
例えば、個人情報を取り扱う事業者などで情報漏洩などの重大なセキュリティーインシデントが発生した場合に、事業者から関係省庁・機関への報告、事実確認など、対処のそれぞれの段階で協力する。
重大なセキュリティーインシデント発生時、事業者などは個情委など各機関にそれぞれ報告を行っている。具体的には、個情委に対しては個人情報保護法、NISCに対してはサイバーセキュリティ基本法、サイバー警察局に対しては都道府県警への通報、IPAに対しては「コンピュータウイルス対策基準」および「コンピュータ不正アクセス対策基準に規定する届出」のそれぞれに基づくものである。今回の連携ではまず、一報を受けた機関がほかの機関を紹介するなどして、事業者などに他機関への報告を促し、報告の漏れがないようにする。
その上で、事実確認などの段階では、事業者の原因調査や再発防止策の検討などで個情委と関連省庁・機関が共同でヒアリングや助言などを行う。また、個情委や関係省庁・機関が注意喚起や通知などを出したり、個情法に基づいて権限を行使したりする際にも、関係省庁・機関が一体的に対応を取れるようにする。
