クラウドサービス利用と個人情報保護
2023/01/12 情報セキュリティ, 個人情報保護法
はじめに
近年、企業が保有する「情報資産」である営業秘密の流出リスクが高まっています。実際、情報漏洩に関する事件も急増しており、摘発件数は8年で5倍に増加しています。また、事件化したものの多くは、顧客データなどの「営業情報の流出」とされています。
これらの一因として、「クラウド」と呼ばれるインターネット上にデータを保管するサービスを利用する企業の急増が指摘されています。クラウドの利用は、場所を問わずデータにアクセスができるという点で利便性が高まる一方、適切な利用管理が行われない場合、情報漏洩のリスクも高まります。クラウドを利用する企業では、重要情報の漏洩や、不正利用の防止策の整備が必須です。
クラウドサービス利用の注意点
クラウドサービスは、インターネット経由で情報の保存や処理などのサービスの提供を受けられるものです。クラウド上にデータを預けると、さまざまな端末で書類などのデータを他の人と共有することができます。
こうした利便性の高さから、クラウドコンピューティングサービスを導入している企業の割合は 70.4%と7割を超えていて、利用する企業は、場所や機器を選ばない利便性さや、資産・保守体制のアウトソーシング化などをメリットとして認識しているということです。
総務省 令和3年通信利用動向調査の結果
クラウド上のデータは、クラウドサービス事業者により安全に管理されることが基本ですが、実際には、障害によるデータの消失や情報漏洩などの事例も発生しています。利用の際には、さまざまな対策を取ることが重要です。
クラウドサービス利用の際に気を付ける主なポイントとしては、以下が挙げられます。
○クラウド上での障害発生
データの復旧ができなくなる可能性があります。
○データの外部漏洩
クラウドサービスを提供する事業者へのサイバー攻撃などにより、預けているデータが外部に漏洩する恐れがあります。クラウド上に預けるデータに個人情報を含めないなど、慎重に判断することが大切です。
また、サービスのセキュリティ対策のレベルや保証の範囲といった部分を利用規約などであらかじめ確認することも重要です。
○クラウドサービスのアカウントが第三者に悪用される
ウイルス感染などにより、クラウドサービスのユーザI Dやパスワードが流出することも考えられます。すると第三者による不正アクセス被害で、情報が漏洩する可能性があります。
障害等に伴うデータ消失の事例
上記2点以外にも、クラウド上で障害が発生した場合に、データの復旧ができなくなる可能性があります。実際にあった事例を紹介します。
バックアップをしていなかった事例
クラウドサービスを利用する会社の中には、障害が発生しサービスを利用できなくなった際、重要データが消えてしまった事例があります。
さらに悪いことに、この会社では、重要データを当該レンタルサーバのみに保存していたためデータの復元もできない事態に陥りました。
加えて、クラウドのサービス利用規約上、「データのバックアップや復旧は、最終的には利用者の責任である」との記載があり、サービス会社への損害請求などは行えなかったということです。
こまめにバックアップを取得したり、サービス停止時の代替手段などを用意することが安心につながります。
また万が一障害が発生した場合について利用規約を確認し、企業としての責任の範囲や、預けるデータの性質に気を配る必要があります。
パスワード使い回し
2016年、米国の大手クラウドストレージ運営企業が自社サービスのユーザーに対し、2012年半ば以前にユーザー登録をして以降、パスワードを変更していない場合はパスワードを変更するよう要請。過去に不正アクセスを受けた際に漏えいし、ユーザーのアカウント情報が明るみに出たことが理由でした。
原因は、社員がパスワードを使い回したためだとされています。外部からの不正アクセスによって情報が漏えいするなどの事例はたびたび発生しています。
対策としては、パスワードを15桁以上の複雑な文字列に設定することや、二段階認証、多要素認証を利用することが大切です。アップロードするファイルを暗号化するなどし、仮に不正アクセスがあった場合でもファイル内の情報自体が漏えいするリスクは抑制されます。
サーバーシステム脆弱性による流出
2021年4月、内閣府が所有する情報が漏えい。内閣府などの複数機関で、外部とデータを交換するサーバーに対し、不正なアクセスが行われていたことが確認され、231名の個人情報が流出したとされています。サーバーシステムの脆弱性を利用されたことが原因といわれています。
個人情報流出時の対応
では、万が一、顧客や取引先などの個人情報が流出した場合、どう対応するべきなのでしょうか。
2022年4月に施行された改正個人情報保護法では、個人情報取扱事業者に対して「守るべき責務」が追加されています。この中で重要なのが、個人情報などが漏えいした際の報告の義務化です。
これまでは、個人情報の漏えいが発生した場合でも個人情報保護委員会や本人に、漏えいの報告義務はありませんでした。しかし、法改正により「情報漏えいや個人の権利利益を害する問題が生じた場合、委員会への報告および本人への通知を行う」ことが義務づけられています。
情報漏えいを発見するための対策やルール整備はもちろん、報告期日までのプロセスの整備などを行うことが重要です。
コメント
使い勝手の良いクラウドサービス。従業員個人単位でも利用する方は多いのではないでしょうか。ネット環境さえあれば、会社内外関わらずにデータの共有ができる優れたサービスだからこそ、うっかり大事なデータを入れてしまうということも発生してしまうかもしれません。
クラウドサービスの利用ルールを社内で整備しつつ、万が一の情報漏洩時への対応についても、共通認識を持っておくことが重要になりそうです。
関連コンテンツ
新着情報
- 解説動画
- 斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
- 斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 視聴時間1時間8分
- まとめ
- 株主総会の手続き まとめ2024.4.18
- どの企業でも毎年事業年度終了後の一定期間内に定時株主総会を招集することが求められております。...
- 弁護士
- 松本 健大弁護士
- オリンピア法律事務所
- 〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号 キリックス丸の内ビル5階
- ニュース
- 兵庫県警が特別警戒対策室を設置、総会屋規制について2024.5.16
- NEW
- 今年も定時株主総会の季節が来ました。これに伴い兵庫県警は12日、総会屋の企業に対する不当要求...
- 業務効率化
- Araxis Merge 資料請求ページ
- 業務効率化
- Hubble公式資料ダウンロード
- 解説動画
- 大東 泰雄弁護士
- 【無料】優越的地位の濫用・下請法の最新トピック一挙解説 ~コスト上昇下での価格交渉・インボイス制度対応の留意点~
- 終了
- 視聴時間1時間
- 弁護士
- 野口 大弁護士
- 野口&パートナーズ法律事務所
- 〒530-0047
大阪府大阪市北区西天満1-2-5 大阪JAビル12階
- セミナー
- 岡野 琴美 弁護士(弁護士法人GVA法律事務所/第二東京弁護士会所属)
- 【オンライン】資金決済法とは?おさえておきたい基礎知識や実務での留意点を解説!
- NEW
- 2024/05/28
- 12:00~13:00