2022年4月から改正個人情報保護法が施行され、情報漏洩発生時の報告が義務化されました。それに伴い、不正アクセスによる情報漏洩を防ぐための有効なツールとして、UTMの導入も義務化されたという話をよく耳にするようになりました。そこで今回は、「本当のところはどうなのか?」と思っているみなさんに、改正個人情報保護法のポイントについて取り上げるとともに、中小企業にとって今後必要となるセキュリティ対策とは何かを考えていきます。
目次
(1) UTM을 도입해야합니까? 처벌이 있습니까?
対策は「待ったなし」の状況
結論から言えば、UTMの導入は義務化されていません。よって未導入に対する罰則もありません。 「なんだ、そうだったのか」と安心される方も多いでしょうが、ここで早合点してはならないのは、決して何も対策をしなくてよいということではありません。 改正個人情報保護法が施行され、情報漏洩発生時の報告が義務化された背景には、企業からの情報漏洩が急増しているという現実があります。その対策は、まさに「待ったなし」の状況に来ており、企業にはこれまで以上に情報セキュリティへの対応策が求められています。
情報漏洩を防ぐための有効なツールとして、UTMが挙げられています。つまり導入の義務化はされていないものの、結果的に多くの企業がUTMを導入したことによって、そこから「UTMも義務化されたのか?」という噂につながったのだと推測されます。
중소 기업이 "봄"이됩니다
「わが社は中小企業だから、大丈夫だろう」という経営者の方には、今は中小企業こそサイバー攻撃の標的になっていることを知っていただきたいと思います。 「サプライチェーン攻撃」というサイバー攻撃を聞いたことがあるのではないでしょうか。サプライチェーンとは、製品の原料・部品の調達から販売に至るまでの一連の流れを指しますが、サプライチェーン攻撃とは、取引先の中小企業などを経由して、最終的にターゲットとする大手企業に不正侵入するサイバー攻撃のことです。 このように、近年は中小企業が狙われる傾向にあります。多くのコストを投じて手厚くサイバーセキュリティ対策をしている大手企業に比べて、中小企業はどうしても対策が手薄になってしまいがちです。そこをサイバー攻撃그들은 중소기업을 "스프링"으로 오용하는 데 영리하게 밀려납니다
(2) 개정 된 개인 정보 보호법의 포인트
そもそも個人情報保護法とは?
こうした社会的課題に対応するために改正個人情報保護法が施行され、情報漏洩発生時の報告も義務化されたと言ってもいいでしょう。 では、そもそも個人情報保護法とはどのような法律なのでしょうか。 例えば、氏名、性別、生年月日、住所といった情報は、どれも「個人情報」と呼ばれるものです。これらの情報を活用することで、行政、医療、ビジネスなど、さまざまな分野でサービスの向上や業務の効率化が図られます。しかし一方でプライバシーにかかわる重要な情報であるため、取り扱いには慎重にならなければなりません。
そこで個人情報の保護を目的として「個人情報保護法」が2005年4月に施行されました。その後、グローバル化、デジタル化、個人情報への意識の高まりなど、社会情勢や時代の変化にあわせて3度大きな改正が行われており、最新のものが2022年4月に「改正個人情報保護法」として施行されています。 加えて、これまで総務省および個人情報保護委員会がそれぞれ所管していた3本の法律を1本の法律に統合し、全体の所管は個人情報保護委員会に一元化されました。
参照:個人情報保護委員会事務局|令和3年改正個人情報保護法について改正個人情報保護法のポイント
改正の範囲は多岐にわたりますが、ここでは6つのポイントを紹介します。
| 1 | 個人の権利保護が強化 | 個人情報の取り扱いに関するルールが厳格化されたことで個人の権利保護を強化 |
| 2 | 情報漏洩の報告が義務化 | 個人情報を取り扱う事業者に対して、情報が漏洩したときの報告が完全に義務化 |
| 3 | 自主的な取組の推進 | 認定個人情報保護団体(※1)の認定対象を広げることで、事業者による個人情報保護への自主的な取組を促進 |
| 4 | データ利活用の促進 | 仮名加工情報(※2)に関して、通常の個人情報と比べて事業者の義務を緩和 |
| 5 | ペナルティの強化 | 報告義務に違反するなどの法令違反に対して、罰則や罰金のペナルティを強化 |
| 6 | 外国事業者も対象 | 日本国内にある者にかかわる個人情報などを取り扱う外国事業者が報告徴収の対象となり罰則も適用 |
(3) 개인 정보 유출이 의무화되는 경우보고
「努力義務」から「完全義務化」へ
先に挙げた6つのポイントの中でも、情報漏洩の報告が義務化されたことは、企業の規模にかかわらず大きな変化と言っていいでしょう。 これは改正前には「個人情報保護委員会に報告及び本人通知するように努める」と、努力義務とされてきた部分です。ところが改正後には「漏洩等が発生し、個人の権益利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化する」と、完全義務化に変わりました。
委員会規則で定められた報告義務化の対象事案は、以下のとおりです。
| 要配慮個人情報の漏洩等 | 従業員の健康診断などの結果を含む個人データが漏洩した場合 |
| 財産的被害のおそれがある漏洩等 | 41882_42492 |
| 不正の目的によるおそれがある漏洩等 | 不正アクセスにより個人データが漏洩した場合 |
| 1,000件を超える漏洩等 | システムの設定ミスなどによってインターネット上で個人データの閲覧が可能な状態となり、当該個人データにかかる人数が1,000人を超える場合 |
なお、それぞれの類型について「漏洩等のおそれ」がある事案も対象とされています。
報告は2段階で行う
情報漏洩の報告については「速報」と「確報」の2段階で行う必要があります。 速報とは、報告対象の事態を知ってから速やかに(おおむね3~5日以内)に行う報告のことです。報告内容は、報告をしようとする時点において把握している範囲で構いません。 一方、確報とは、報告対象の事態を知ってから30日以内(不正目的による「おそれ」がある漏洩の場合は60日以内)に行う報告のことです。報告は、すべての事項について行わなければなりません(合理的努力を尽くしてもすべての事項を報告できない場合は、判明次第報告を追完)。
法令に違反するとどうなる?
報告を怠ると、最大1億円の罰金が科せられるだけでなく、悪質と判断された場合には社名も公表されてしまいます。今回の改正は、こうした重いペナルティを設けることで個人情報流出の被害を未然に防ごうという試みとも言えるでしょう。
参照:個人情報保護委員会事務局「個人情報保護法改正に伴う漏えい等報告の義務化と対応について」(4) 필수보고 뒤에 사이버 위험
複雑化・巧妙化するサイバー攻撃
個人情報漏洩時の報告義務化や違反への罰則が強化された背景には、先にも述べたように急増する情報漏洩への対策が「待ったなし」という状況があります。 サイバー攻撃점점 복잡하고 정교 해지고 있습니다 최근에 OS와 소프트웨어가 사용되었습니다脆弱性を狙った悪質な攻撃も続々と登場しています。みなさんも以下のようなサイバーリスクをニュースなどで聞かれたことがあるのではないでしょうか。
●ランサムウェア
巧妙に攻撃を仕掛けてくるマルウェア중 하나입니다 이 방법에는 컴퓨터에 저장된 데이터를 암호화하고 몸값을 요청하는 것이 포함됩니다
● emotet
これもマルウェアの一種で、メールを主な感染経路として侵入します。脅威が広まった後にいったんは収束するものの、再び活動が活発になるということを繰り返しています。
ランサムウェアIPA입니다 (독립 행정 기관)Emotetは同じく10大脅威の上位のランキングしている標的型攻撃などに用いられ、巧妙化したなりすましメールによるマルウェア感染や情報漏洩は大きな問題となっています。
참조 : IPA (독립 행정 기관 정보 처리 기관) "10 정보 보안의 위협 2023"人為的なミスも課題
また、メール誤送信など内部からのうっかりミスによって重要な情報が外部に流出してしまう事故も後を絶ちません。意図的な持ち出しも問題になっていますが、それは全体からすればほんの一部で、多くは悪意のない情報漏洩です。 しかし外部要因であれ内部要因であれ、情報漏洩は一度でも起きてしまうと自社の信用問題にかかわってしまいます。ときには損害賠償の負担など大きな不利益につながる深刻なケースもあるでしょう。そうならないためにも、従業員の意識を高める情報セキュリティ教育とあわせて、適切なセキュリティ対策が必要になります。
(5) 중소 기업을위한 이상적인 보안 조치
UTM은 올인원으로 다층 방어를 허용합니다
そうは言っても、正直なところあまりセキュリティ対策に手間やコストをかけられないという会社にこそ、UTMの導入をおすすめします。 UTM(통합 위협
●ファイアウォール
もともとは火災などの被害を最小限に食い止めるための「防火壁」の意味です。インターネットの世界ではネットワークやコンピュータを防御する製品のことを指します。
●アンチウイルス
コンピュータウイルスの侵入・攻撃からシステムを守る対策のことを言います。通常はソフトウェアとしてインストールします。
● IDS/IPS
IDS는 "사기 침입 탐지 시스템"입니다不正アクセス60557_60874不正アクセスや異常な通信を検知・通知したうえでブロックします。
● 웹 필터링
웹 사이트 액세스를 제어하는 기술 성인 사이트 및 범죄 관련 품목과 같은 부적절한 사이트를 보지 못합니다
従来これらのセキュリティ対策ツールはそれぞれ個別の製品として提供されてきましたが、UTMにはさまざまなセキュリティ機能が一つにパッケージ化され、多層的な防御を行うことが可能です。あらゆる脅威に個別対策を行うためには、手間やコストがかかるうえ、専任の担当部門や人材までもが必要です。そうした煩雑さから解放されるのがUTMの最大のメリットと言えます。 なお、UTMによってはサイバー保険(※3)が標準で付いているものもあるので、万が一、被害にあった場合に備えることができます。
UTM도 문제를 처리하기 쉽습니다
UTMは外部ネットワークと接続している大元のモデムに設置します。これによりパソコンだけでなく、UTMとつながっているすべての機器が保護の対象になります。 また、UTMは通常アプライアンス(専用機器)として提供されるため、インストールの必要がありません。そのため導入が素早く簡単なことも特徴です。 さらに、UTMはトラブル対応も非常にスムーズです。個々にセキュリティ対策をしていると、何かトラブルが起きたときにそれぞれの業者に連絡しなければなりませんが、UTMなら連絡は1社だけで済みます。
UTM을 선택할 때의 팁
さまざまな点から考えて、UTMは中小企業にとって最適なセキュリティ対策と言えるでしょう。どのようなことに気をつけて製品を選べばいいのか迷ったときは、以下のようなポイントを検討してみてください。
●機能
どのような機能があるか確認し、自社に必要な機能を検討することが重要です。外部の脅威から社内ネットワークを守るだけでなく、内部機器からの不正アクセス、ウイルス拡散や情報漏洩などのリスクにも備えることができるかをチェックしましょう。
●使いやすさ
관리 기능과 사용 편의성도 "시각화 된"보안 상황과 같은 중요한 점입니다 또한 바이러스 정의 파일 (パターンファイル)を定期的に自動で更新してくれるものなら、専任の担当者を置かなくても安心です。
●コスト
自社の規模に合ったものを適切な価格で導入できるかもチェックしましょう。ただし、価格だけで選んでしまうと、導入後に不具合やトラブルが生じる可能性もあるため、注意が必要です。
●耐久性
耐久性に優れた製品かどうか、販売会社の実績も参考にしながら見極めましょう。
●サポート体制
わからないことや困ったことがあったときに連絡すれば、迅速に対応してくれるか。リモート保守サービスや、パソコンの感染時には無料のウイルス駆除サービスがあるか。このようなサポート体制が充実している製品を選びましょう。
自社の状況に応じたセキュリティ機器の導入により、情報漏洩を防止するための対策を強化することができます。法令を遵守し、損失を防ぐだけでなく、企業の信用を高めていくことが重要です。
※3 サイバー保険:サイバー事故によって生じた損害賠償責任、事故対応にかかる費用、喪失した利益などを補償する保険のこと。(6) 요약
今回は、「UTMm을 소개해야합니까? 질문에 대답하는 것 외에도 "처벌이 있습니까?" 그리고 "처벌이 있습니까?", 우리는 개정 된 개인 정보 보호법에 올바르게 대응하기 위해 어떤 보안 조치를 취해야하는지 생각하고 있습니다 義務化はされていませんが、多くの企業がUTMを選んでいることからも、さまざまな脅威にオールインワンで備えるには、やはりUTMが賢い選択であることがおわかりいただけたのではないでしょうか。
サクサではUTMの基礎知識を解説する特設ページをオープンしています。UTMの機能や脅威となるサイバー攻撃について、動画で詳しくご紹介しています。また、充実したセキュリティ機能に加え、監視・保守・サポートなど導入後のアフターケアも充実している最新モデルのUTM"SS7000 III"에 대한 세부 정보도 볼 수 있습니다 이를 회사의 보안 조치에 대한 참조로 사용하십시오
UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
